下载地址:下载地址
攻击机ip:172.16.12.137
靶机ip:172.16.12.141
目标:getshell,获取两个flag,并提权至root
首先识别一下目标开启的端口和服务,可以看到目标开启了ssh(22)和http(80)服务。
访问一下web站点,提示只能从本地登录,否则会被当作hacker拦截。
抓包修改请求头,添加x-forworded-for,保险起见可以把所有标识请求源ip的请求头都添加上
x-forwarded-for:127.0.0.1
x-remote-IP:127.0.0.1
x-originating-IP:127.0.0.1
x-remote-ip:127.0.0.1
x-remote-addr:127.0.0.1
x-client-ip:127.0.0.1
x-client-IP:127.0.0.1
转发请求后我们就进入了网站,注册一个账号后登录进去看一下,Dashboard会显示Welcome消息
查看Profile发现此处显示账号和密码,而且可通过控制id参数查看其他用户的信息,此处存在信息泄露。
在控制台修改password表单类型为text即可查看用户密码,从id=1到id=11共获得了六组用户信息
A:eweuhtandingan
P:skuyatuh
A:aingmaung
P:qwerty!!!
A:sundatea
P:indONEsia
A:sedihaingmah
P:cedihhihihi
A:alice
P:4lic3
A:abdikasepak
P:dorrrrr
暂时还不知道怎么利用,我尝试了对id字段进行sql注入(毕竟有输出点有查询字段)但是没有找到正确的注入姿势,具体步骤就不多赘述了。正确的解法是用刚才获得的信息尝试ssh连接靶机,经过几次失败的尝试后我使用alice连接成功。
接着查看一下alice的sudo权限,可以看到alice拥有php的root权限
OK,用php回弹shell,成功提权至root
接着我在root目录下获得了flag2
还有flag1没有找到,应该是之前拉下的,全盘搜索一下,搞定!
find / -name flag1.txt