zhouA0221的博客

先利用openssl命令创建一个密码，得到hash密码我们切换到tmp目录下，新建一个文件再回到/opt/devstuff/dist/test目录，执行程序test，将xiao的文件内容写入到/etc/passwd文件里面可以看到xiaofeixia用户已经添加到/etc/passwd文件里了，接下来然后使用命令su - xiao切换到我们添加的xiao用户，输入之前设置好密码即可登录。这里我们看到一个password文件，打开之后看到好多个秘密，我把密码放到我们的passwd文件中。

Exim是一个MTA（Mail Transfer Agent，邮件传输代理）服务器软件，该软件基于GPL协议开发，是一款开源软件。nid=3，问号传参，这种URL极有可能存在SQL注入漏洞。初步验证是否有SQL注入漏洞，直接在URL后边加个 ‘ 如果报错那就是被系统执行了，没有进行过滤。5、拿到shell后进行信息收集，Exim这个程序然后搜索这个程序的漏洞。2、通过这个URL加'看看是否报错，如果报错就是被系统执行了，那就是存在。3、拿到用户名和密码之后使用john进行爆破密码，爆出密码后登录到后台。

通过 Drush，开发者可以在终端中执行常见的 Drupal 操作，如安装、更新、8、邮件通过脚本执行，每15分钟执行一次，把nc的反弹shell写入脚本文件，攻击端侦听，等待目标主机执行脚本。4、通过查看邮件发现使用了drupal中drush程序，这个工具可以更改用户的密码。这个时候要等，因为这个脚本文件是每15分钟执行一次，所以只需要等待就可以。3、在网站中登录发现不行，之前还扫到一个22端口，通过22端口远程登陆上。看到源码中有config的文件，这个肯定是配置文件，可以看一下。

使用graham用户查看sudo的使用权限，看到jens用户可以不用输入密码执行backups.sh脚本。Mark家目录下有个文本文件，内容就是有个用户graham账户文件中是有这个用户的，后面的很可能就是这个用户的密码。6、在从graham用户切换到jens用户时查看sudo权限的时候要注意脚本文件，脚本是直接可以进行提权的。这里我们使用插件看到这是WordPress的CMS，wpscan准门针对WordPress开发的。5、信息收集的时候一定要注意用户家目录的文本文件，这里面很容易出现密码。

DOS格式的文本文件在Linux底下，用较低版本的vi打开时行尾会显示^M，而且很多命令都无法很好的处理这种格式的文件，如果是个shell脚本，。因此产生了两种格式文件相互转换的需求，对应的将UNIX格式文本文件转成成DOS格式的是unix2dos命令。提交后重定向到thankyou.php的文件中，随着不断刷新，看到页脚的版本在发生改变，这个就是文件包含漏洞啦。服务器执行PHP文件时，可以通过文件包含函数加载另外一个文件（参数），另外一个文件中的PHP代码就会被执行，file=footer.php。

可以看到使用teehee提权,teehee就是tee的变体从标准输入读取并写入标准输出和文件我们可以借助teehee往passwd写入一个root账号即可得到root权限查看一下这个命令的帮助手册，使用-a参数在/etc/passwd文件里面新建一个有管理员权限的用户。因为我使用的字典文件很大，我们这时候可以根据长度来分辨哪个是密码，因为正确密码只有一个，我们可以点length来区分真密码，我们看到密码是happy。4、在做提权没有思路的时候，我们还是要进行信息收集，通过信息收集获得更多提权的方式。

5、提权流程表示系统发行版本和内核版本》找到匹配的版本exp》exp传输到目标主机》一般传输到tmp目录（临时文件），执行payload。表示系统发行版本和内核版本》找到匹配的版本exp》exp传输到目标主机》一般传输到tmp目录（临时文件），执行payload。使用wget进行下载（这里我们要访问kali的IP地址，因为我们是在kali中架设的）3、我们使用sqlmap注入时对数据库操作的顺序：数据库--表--字段--数据。4、在进行木马上传时，要先了解CMS的架构，知道我们上传木马的路径。

是一个开源的漏洞扫描器，‌主要用于自动化检测Joomla CMS的安全漏洞，‌以增强Joomla CMS开发的安全性。SQL注入攻击指的是通过构建特殊的SQL输入语句，传入Web应用程序，而这些输入大都是SQL语法里的一些组合，通过执行SQL语句而执行攻击者所要的操作，其主要原因是程序没有细致地过滤用户输入的数据，致使非法数据侵入系统。这里直接是可以看到sqlmap的执行语句，我们可以直接复制，改为目标主机的IP地址就可以。通过扫描我们看到这是Joomla 3.7.0的版本，找到了一个网站管理后台。

虽然我们现在已经可以执行切换路径命令了，但是发现还有是很多命令不能用。我想看看一下目标主机的所有用户，是不能执行的。那我们就用到了当前shell逃逸。第一种情况：/ 被允许的情况下；直接 /bin/sh 或 /bin/bash第二种情况：能够设置PATH或SHELL时。现在我们是符合第一种情况的所以我们直接使用/bin/sh 或者 /bin/bash现在我们就可以使用cat命令了，当然其他命令我们也是可以进行执行的。

我们可以尝试远程连接，我们尝试一下这两个用户哪个可以通过SSH进行远程登录。用户是可以通过ssh进行远程连接的，但是端口号要指定为7744，因为我们通过nmap扫描到了7744端口为ssh服务。主要是因为管理员给tom用户限制了bash，我们可以通过环境变量看一下，我们tom用户可以使用哪些命令。我们可以看到这是一个WordPress的CMS，还可以看到一个Flag。我们在使用命令的时候发现不能执行，没有这个命令，还发现了一个-rbash。我们是可以使用vi的，所以我们通过vi这个命令来进行逃逸。

（九头蛇）是著名黑客组织thc的一款开源的暴力破解密码工具，功能非常强大，kali下是默认安装的，几乎支持所有协议的在线破解。密码能否破解，在于字典是否强大。我们通过账户文件发现flag4是个用户，那我们就使用。Rochyou.txt是一个压缩文件，那我们先进解压。我们通过爆破发现这个flag4的密码为orange。这样我们通过看命令提示符就可以看到这是root用户。我们cd切换到root就可以看到第五个flag了。根据Flag3的提示，可以使用find越权。提权之前的信息收集（

也就是提示我们去查看这个CMS的配置文件。因为Drupal是开源的所以我们是可以通过搜索引擎搜到配置文件的路径的。我们的思路可以从官方文档中查找一些关于drupal7的密码恢复之类的文件。这里用户有两个用户，我们只需要关注admin这个用户，这个应该是网站管理员的账户和密码。我们已经成功登录到目标主机的mysql数据库了，我们看一下数据库中有哪些重要的信息。看到这是flag2，从flag2中我们可以看到这是mysql的账号和密码。看到一个users的数据表，这个表中我们通过名字应该能猜测到这个是用户表。