Vulnhub打靶WP

LAMPsecurity CTF5

一、信息收集

确定靶机ip

全端口扫描

服务版本及操作系统探测

nmap基于端口进行漏洞探测

二、基于web向的渗透

随便点点，同时观察url的特征，点击Blog，界面如下：

可以知道管理系统为nanocms，用searchsploit看一下有没有该库的漏洞。

可以看到只有一个基于登录后的RCE，那就百度一下，发现/data/pagesdata.txt目录下存放着管理员密码。

密码被哈希加密，放到kali里有一个hash-identifier里查看。

md5加密，用网站还原。

登陆一下。

一般到这一步，就是看管理员页面里面有没有能够反弹shell的命令执行区域了。

看了WP，发现在这里。

把这句话改成自己的机子加到下面。

回到主页点击一下contact。

反弹shell

cat  /etc/passwd 发现有很多用户，但是大多数没有root权限来的。

实在没有头绪了

发现home下有文件存放root密码，cat一下。

一个50$cent，拿到权限。

Dr4g0nB4ll

主机发现

nmap确定主机ip。

漏扫发现

发现CVE，robots.txt。

Web

没什么用。

在查看源码的时候发现另一个base64，多次解码出结果。

盲猜是某个密码或者子目录。

一个vulnhub的文件夹里面是一张图片和登录页（xmen），一个txt文件里面都是子目录。

挨个翻找无果。

vulnhub文件夹中有一张图片，猜测图片隐写。

图片隐写

stegseek一下。

看见文件第一行，ssh私钥，那就用这个连。

私钥登录

用户名就猜root，xmen，DRAGONBALL，最后试出来是xmen。

两个root权限的文件。

 该代码将进程的用户ID和组ID均修改为0，即root，然后调用系统命令ps，用于查看当前进程的状态。

变量劫持

export  PATH=.:$PATH

 将当前目录作为第一路径进行文件读取执行。

遇到个问题就是还是不能执行，最后发现是ps的权限不够，chmod -x ps就行。

提权成功。

END

1.主机发现，确定靶机IP。

2.Web渗透，源代码中找到提示词，发现是个子目录，目录中又有子目录Vulnhub和文件secret.txt

3.secret.txt疑似又是子目录。

4.Vulnhub目录中有个存在隐写的图片，破解出ssh私钥。

5.ssh私钥登录，获得初始立足点。

6.变量劫持实现提权