hack the box Popcorn

进入hacker的世界不能自拔

1、信息收集

nmap -sV -sC -A -Pn -oN 10.10.10.6.txt 10.10.10.6

2、尝试

msf启动，apache httpd2.2.12尝试了一波payload，但是都没有达到理想的结果。

于是想扫描下10.10.10.6的网页目录

我使用的是macOS，不知道用啥扫描工具比较好。

好吧，Dirbuster和我之前想用的工具一样，只不过，嗯，看来偷懒是不成了。干吧，将java包降级！但是思路是对的！永远不要放过任何可能有用的工具。

解决。链接:https://blog.csdn.net/kongxx/article/details/50969077

用了第一个字典，什么也没扫出来，妈的，继续！

暴脾气上来了，线程上100

输入10.10.10.6/test/,嘿嘿，phpinfo出来了

知道了phpinfo，就可以知道更多不可描述的服务器信息了，准备收集OS、PHP版本、使用框架信息，payload一波吧！

咦~支持ftp啊


not ok!

没啥思路，百度下

我愣住了，该怎么下手哎喂，我只知道phpinfo，接下来该怎么往下走呢？利用哪一个漏洞更容易日到权限呢？没思路，那就先日为敬！先从php5.2.10版本开始！

msf启动！

总是这样，？？？还剩下几十个payload，我在纠结，要不要一个个试下去。也试了mysql版本ayload，好像也没啥结果！我真想自己写一个工具，输入软件版本号，然后让msf自动来一遍，不然payload太多，试的蛋疼！

3、webshell

这个时候，一直试下去就是穷举法了，这个题目这样出，总是有一定思路的吧，穷举好像没啥意义，要根据一定信息来筛选出payload才对，说得对，可我没有思路，该咋办？

别急，我们还有其他的信息可以使用，此路不通，果断换一条，那就继续查看扫到的目录吧，试试http://10.10.10.6/torrent/，果然：

某个cms?好像有点意思了，指定/torrent/进行扫描，cms好像问题更多一点，嗯，比起语言层面来说。又是漫长的扫描环节，网速真是硬伤，没办法，使用公共场所wifi更安全啊，保护个人隐私是第一步，嗯(假装黑阔ing…)。

看到了sign up，幸运地，注册并没有什么限制(没想到限制这么松，讲道理，看来永远不要高估了网站管理人员的安全意识，扫到目录之后，就多多点一点，上传、注册等所有能点的功能，说不定就找出下一个突破点)

话不多少，开始文件上传，准备getshell

直接上传反弹shell？

呵呵，对文件有限制，必须得是.torrent结尾的文件

这个是老套路，这辈子文件限制是不可能有用的，只有绕过才有维持继续攻击的样子。
使用php反弹脚本。

神器启动

ip改成本地

将php-reverse-shell.php改成 php-reverse-shell.png.php，绕过.png结尾检查。

上burpsuit，拦住提交，把text/php类型改成image/png类型

绕过成功！

应该是上传，fuzz下目录(可以扫出来) 10.10.10.6/torrent/upload看到多出来一个php文件，nc监听、点击网页上php文件。

webshell到手，ok，这时候我们已经是这个网站的主人了。

4、提权

提权的时候，遇到了点小挫折。按照ippsec的做法是searchexploit motd找到14339.sh上传至网站权限的目录，然后bash，但是提权失败了。

没关系，uname -a，看出来是Linux 2.6.31。

google启动

下载到本地，上传至服务器，执行。

手动编译、payload执行成功，可以看到使用firefart用户名和我们自己设定的密码就以root权限登录该服务器。

拿到root.txt,到此，服务器已被我们撸到手

5、总结

日站需要定力，遇到问题，不能懒，不能轻易放弃。
还有很多很多知识和思路需要学习，心态要放端正。