LAMPsecurity CTF5
一、信息收集
确定靶机ip
全端口扫描
服务版本及操作系统探测
nmap基于端口进行漏洞探测
二、基于web向的渗透
随便点点,同时观察url的特征,点击Blog,界面如下:
可以知道管理系统为nanocms,用searchsploit看一下有没有该库的漏洞。
可以看到只有一个基于登录后的RCE,那就百度一下,发现/data/pagesdata.txt目录下存放着管理员密码。
密码被哈希加密,放到kali里有一个hash-identifier里查看。
md5加密,用网站还原。
登陆一下。
一般到这一步,就是看管理员页面里面有没有能够反弹shell的命令执行区域了。
看了WP,发现在这里。
把这句话改成自己的机子加到下面。
回到主页点击一下contact。
反弹shell
cat /etc/passwd 发现有很多用户,但是大多数没有root权限来的。
实在没有头绪了
发现home下有文件存放root密码,cat一下。
一个50$cent,拿到权限。
Dr4g0nB4ll
主机发现
nmap确定主机ip。
漏扫发现
发现CVE,robots.txt。
Web
没什么用。
在查看源码的时候发现另一个base64,多次解码出结果。
盲猜是某个密码或者子目录。
一个vulnhub的文件夹里面是一张图片和登录页(xmen),一个txt文件里面都是子目录。
挨个翻找无果。
vulnhub文件夹中有一张图片,猜测图片隐写。
图片隐写
stegseek一下。
看见文件第一行,ssh私钥,那就用这个连。
私钥登录
用户名就猜root,xmen,DRAGONBALL,最后试出来是xmen。
两个root权限的文件。
该代码将进程的用户ID和组ID均修改为0,即root,然后调用系统命令ps,用于查看当前进程的状态。
变量劫持
export PATH=.:$PATH
将当前目录作为第一路径进行文件读取执行。
遇到个问题就是还是不能执行,最后发现是ps的权限不够,chmod -x ps就行。
提权成功。
END
1.主机发现,确定靶机IP。
2.Web渗透,源代码中找到提示词,发现是个子目录,目录中又有子目录Vulnhub和文件secret.txt
3.secret.txt疑似又是子目录。
4.Vulnhub目录中有个存在隐写的图片,破解出ssh私钥。
5.ssh私钥登录,获得初始立足点。
6.变量劫持实现提权