1.常规端口及服务发现,发现存在一个git库
2.访问80端口的.git目录,使用wget直接将git库下载下阿里
wget -r ip
3.查看该文件夹内容,提示倒数第二个版本下加入了一些身份信息,访问这些身份信息
git checkout 哈希值
再次查看login.php,里面存在默认用户名和密码,回到首页登录成功,成功进入后台
4.发现后台页面url地址上有id=1,推测存在sql注入,手工进行union联合注入,得到账号密码
5.ssh登录成功,突破外围拿下shell,开始进行提权
6.使用3493进行提权失败,查看账号目录下的.bash_history,提示发现命令执行,且提示开放了9999
端口,ss -pantu | grep 9999 发现确实存在,ps -ef | grep 9999 发现在/opt/web目录下就是被入侵的路径
,访问该路径,成功执行命令,执行反弹语句,成功拿到losy账号权限
7.发现该账号的命令执行历史记录下提示存在该账号存在sudo权限,输入history记录下的密码,成功执行
sudo直接尝试python提权语句
sudo python3 -c ‘import pty;pty.spawn(“/bin/bash”)’
成功得到root账号的权限
8.尝试利用第二种提权方法进行提权
思考到passwd下还存在lama账号,使用MidPwds.txt 字典进行ssh进行暴力破解
hydra -l lama -P MidPwds.txt ssh://10.1.8.154 破解得到密码123
ssh登录成功进入lama账号
查看.bash_history 发现也存在sudo权限,且可以直接执行
sudo su直接拿到root权限,打靶完成