端口扫描
这里爆出了一些目录信息,挨个看过去发现/secret下有一张图片
/core下可以找到一组数据库账号密码
web渗透
qdpm 9.1
这些脚本利用条件查看以后都需要进入后台,那么现在就是想办法得到账号密码
兔子洞
目录爆破可以得到install目录
这里用otis/rush账户可以进行下一步数据库重置,且这里可以重新设置admin账号密码,但是再去前台登陆时不能成功。
图片隐写
提示我们输入密码,说明存在文件
爆破一下可以用工具stegseek 也可用这个脚本
#!/bin/bash
if [ $# -lt 2 ]; then
echo "Usage: $0 [steghide file] [dictionary file]"
exit 1
fi
file=$1
dict=$2
if [ ! -f $file ]; then
echo "Error: File not found: $file"
exit 1
fi
if [ ! -f $dict ]; then
echo "Error: Dictionary not found: $dict"
exit 1
fi
while read password; do
if steghide extract -sf $file -p $password &> /dev/null; then
echo "Password found: $password"
exit 0
else
echo "Trying: $password"
fi
done < $dict
echo "Password not found"
exit 1
爆破成功后会分离出一个文件
这个在之前查看exp时候提示用户头像设置处存在任意文件上传
这里可以直接上传我们的后门,但是会有报错信息
但是在uoload目录下看到已经上传成功了。
这里因为之前兔子洞迷失了一段时间忘记了upload这个
同样可以利用脚本
qdPM 9.1 - Remote Code Execution (Authenticated) - PHP webapps Exploit
searchsploit中的都是python2的脚本,有几个库下载不方便,这个脚本是python3的但是有几个对齐问题,修改即可。
利用时url记得加末尾的反斜杠不然会报错
exp也是利用了任意文件上传
awk提权
sudo awk 'BEGIN {system("/bin/sh")}'
可以去gtfobins找一下
总结
通过目录探测找到图片,然后用steghide extract -sf 查看图片发现需要密码猜测存在文件写入,用脚本爆破出密码,然后登录后台通过现成exp审计发现头像上传处存在漏洞,上传反弹shell通过awd提权
后续
在靶机root目录下存放一个虚机
启动发现是一个靶场环境,用sql延时注入得到账户密码然后ssh链接,通过脏牛提权即可