Dav
boot2root machine for FIT and bsides guatemala CTF
0x01 信息收集
常规Nmap扫描目标机器收集端口开放服务信息,只开放了一个端口
![](https://img-blog.csdnimg.cn/202103120826091.png)
0x02 漏洞利用
接着就是网站目录扫描,用dirbuster扫描得到一个目录/webdav
搜索对应的文章看看:
https://www.bilibili.com/read/cv4917037/
上面写到可疑用cadaver 登录到服务。默认用户名是wampp,密码是xampp 登录成功
输入? 查看常规命令,和ftp有点类似
![](https://img-blog.csdnimg.cn/20210312082610460.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQ0MTAxMjQ4,size_16,color_FFFFFF,t_70)
登录测试可以用put直接上传文件
![](https://img-blog.csdnimg.cn/20210312082611609.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQ0MTAxMjQ4,size_16,color_FFFFFF,t_70)
0x03 GetShell
这里直接上传PHP反弹shell的脚本。kali自带的。
![](https://img-blog.csdnimg.cn/20210312082608722.png)
put上去后直接先起监听在访问,直接弹回shell
![](https://img-blog.csdnimg.cn/20210312082611257.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQ0MTAxMjQ4,size_16,color_FFFFFF,t_70)
直接查看user的flag
![](https://img-blog.csdnimg.cn/2021031208261026.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQ0MTAxMjQ4,size_16,color_FFFFFF,t_70)
网站下有个passwd.dav。用hashcat加载rockyou跑了半天也没有结果
![](https://img-blog.csdnimg.cn/20210312082611626.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQ0MTAxMjQ4,size_16,color_FFFFFF,t_70)
0x04 ROOT Flag
sudo -l 查看一下,运气不错。可以用cat直接查看root的flag
![](https://img-blog.csdnimg.cn/20210312082609667.png)
获得flag
![](https://img-blog.csdnimg.cn/20210312082608701.png)