靶机下载地址:
主机扫描,得到IP地址
用nmap扫描得到相关信息(开放端口,服务,版本等)
我们用gobuster扫描一下目录文件,发现有个config,
然后在浏览器打开页面,发现需要本地用户才能访问,并且那个config文件也无法得到有用信息
这里可以用burpsuite进行本地该包,也可以使用插件X-Forwarded-For Header访问
发现有登陆注册,这里可以先尝试在登录这里爆破一下,但是无果,然后随便注册一个账号
可以登陆进去,这里可以尝试一下SQL注入,但还是无果,但是id值可以改变看见别人信息,水平越权
并且可以得到账号密码信息
然后将所有的用户信息进行搜集,可以写脚本或者burp爆破,这里使用burp爆破,需要设置获取的参数值
爆破结果如下:并将其结果保存为userinfo
为了让hydra使用-C 参数爆破,需要更改一下格式,或者不更改格式,使用-L -P参数
然后进行hydra爆破,得到登录账号密码
使用账号密码ssh登陆成功
ls -al 得到flag1
然后查看自己这个用户有哪些可以执行root权限,发现可以使用PHP
可以用nc监听,用PHP反弹shell,得到root权限
总结:通过水平越权得到所有的账号密码,然后用hydra爆破得到可以ssh远程登录的账号密码,进行远程登录得到第一个flag,然后通过查看该用户的sudo权限有哪些,发现了PHP,最后用nc监听反弹得到shell,从而获取第二个flag。