qq_63855540的博客

感觉不是很方便，在上面执行命令尝试进行bash反弹，发现有nc命令，但是尝试使用蚁剑的命令行反弹不上来shell，所幸直接上传msf的后门上去上线。尝试进行文件上传，发现进行了上传文件的类型验证但是没有对文件上传的后缀以及内容做校验。最后是发现可以直接su root 然后就用这个yousef密码就可以切换用户。首先习惯性的查看一下本地的passwd文件看存在哪些可以登录的用户。它做了sudoers配置，可以直接用自己的密码提升。尝试admin admin发现成功登录。尝试了确实是ssh的密码。

这个x其实就是秘密的地方，但是为了安全都放到shadow下面去了，如果对这里的x进行修改为密码那么就会会使用这里的密码额而不是shadow那边的密码。当读取到etc/passwd的文件的时候，发现除了root用户还有一个可以登录的用户mowree。既然可以包含本地文件那么可以尝试是否可以包含远程文件，但是远程文件的包含需要开启一个东西一般情况下是默认关闭的。需要指定字典，这里使用的seclists的字典，这个字典我之前也没用过也不知道怎么样，不过应该也是挺全的吧。

这里有个细节部分，53端口常见的情况都是走的udp协议做的域名解析，这里查询出来是tcp协议，DNS里面的tcp协议一般用来做电脑上服务器与服务器之间的数据同步、区域传输（zone transfers）和更新之类的操作，udp协议用来做域名解析。它说它留了很多的子域名作为后门，然后给出了一个子域名，这里要说到域名访问和使用ip访问是有不同的情况的，常见的直接访问ip和访问域名解析到的是同一个网站，但是也有一种可能是做了虚拟主机服务，不同的域名访问可以得到不同的网站内容。

还有就是这个express-fileupload一下子勾起了我的回忆，之前在打ctf的靶场的时候其实做过几种类型的题目，我记忆尤为深刻的就是第一次遇到的一个js网站的题目，那个时候我甚至不知道js还可以作为后端的语言去开发网站，但是的那个漏洞就是这个Upload依赖导致的，我暂时还不知道是不是存在这个问题。同时又复习了一遍这个express的upload的依赖的漏洞利用以及利用node命令来提权的操作。看了wp果然如此确实是利用的此漏洞，这个漏洞现在分析的人比较多了，在网上一搜就可以找到相关的文章了。

需要再kali上面开启3333和4444的监听，会建立两个连接一个用来执行命令一个用来回显命令，可以看到命令的中间有一个bash其实就是3333建立的连接然后在上面执行命令传给bash去执行然后再将结果发给4444的这个连接回显会来。下载好靶机后直接启动了，我发现这个靶机如果一开始选择我的无线网卡会启动不了，需要先选择一个没有的网卡启动然后关闭后再选择正确的网卡启动就可以了。又出现了这种情况，就是明明连接上了但是没有回显的情况，看了视频原来是并没有建立一个shell的反弹只是建立了一个连接。

之前的打靶其实都是针对某一个漏洞进行复现，并没有形成一个完整的渗透的思路，希望通过大量的靶机训练可以形成渗透的思维。对于此次的靶机算是照着人家的wp进行了一遍复现，其中很多地方也学习到了很多知识点，列如本次的网络的整体情况，尤其是通过docker之间的跳板去打其他的docker。我也去pull了一个Ubuntu的镜像去编译，按照他的步骤第一步的so文件都没有产生出来，他的意思就是先用这个.c文件单独将这个so文件生成出来，然后和前面的思路一样再编译一个c文件然后一起上传到靶机上面。