vulnhub靶机nullbyte

端口扫描

 这里只是把ssh改到了777

web探测

 

目录爆破并没有什么有用信息，只有phpmyadmin和一个uploads文件

到这就想到了把图片下载下来看看

 如果要更近一步我们必须要有新的攻击点，那么这个comment中的内容不是一个密码就是一个目录

 可以看到是一个目录，并且源码提示我们去爆破

 这里用bp和hydra都可以

 hydra 10.10.1.134  http-form-post "/kzMb5nVYJw/index.php:key=^PASS^:invalid key" -l z -P /usr/share/wordlists/rockyou.txt

这里最好用hydra，因为bp的字典导入如果过大的话容易卡死。

 

进入以后随便输点什么，发现双引号下存在报错。

直接sqlmap梭哈

 

seth库下的users表有账户密码

 

ssh连接

 

提权

在查看可以以root用户执行的命令中发现有一个procwatch，那么看一下

运行以后发现类似于ps命令，且运行了一个sh终端。

利用环境变量提权

那么我们可以在当前位置创建一个/bin/sh的软连接为ps，然后将当前位置设置为环境变量，那么运行procwatch时候就会根据环境变量的位置运行我们创建的ps文件了，然而我们的ps是一个shell的软连接，那么我们就可以截获这个root的shell了

但是这里为什么不能用/bin/bash？

总结

靶机算简单到中等难度，主要点在于发现图片中的信息，另外因为数据库用户为root，还有uploads文件夹，那么也可以用sql注入来getshell。还有就是又学习了环境变量提权这个点