vulnhub靶机nullbyte

端口扫描

vulnhub靶机nullbyte_第1张图片

 这里只是把ssh改到了777

web探测

vulnhub靶机nullbyte_第2张图片

 vulnhub靶机nullbyte_第3张图片

目录爆破并没有什么有用信息,只有phpmyadmin和一个uploads文件

到这就想到了把图片下载下来看看

 如果要更近一步我们必须要有新的攻击点,那么这个comment中的内容不是一个密码就是一个目录

vulnhub靶机nullbyte_第4张图片

 可以看到是一个目录,并且源码提示我们去爆破

vulnhub靶机nullbyte_第5张图片

 这里用bp和hydra都可以

 hydra 10.10.1.134  http-form-post "/kzMb5nVYJw/index.php:key=^PASS^:invalid key" -l z -P /usr/share/wordlists/rockyou.txt

这里最好用hydra,因为bp的字典导入如果过大的话容易卡死。

vulnhub靶机nullbyte_第6张图片

vulnhub靶机nullbyte_第7张图片 

进入以后随便输点什么,发现双引号下存在报错。

直接sqlmap梭哈

vulnhub靶机nullbyte_第8张图片 

seth库下的users表有账户密码

vulnhub靶机nullbyte_第9张图片

 

ssh连接

vulnhub靶机nullbyte_第10张图片

 

提权

vulnhub靶机nullbyte_第11张图片

在查看可以以root用户执行的命令中发现有一个procwatch,那么看一下

vulnhub靶机nullbyte_第12张图片

运行以后发现类似于ps命令,且运行了一个sh终端。

利用环境变量提权

那么我们可以在当前位置创建一个/bin/sh的软连接为ps,然后将当前位置设置为环境变量,那么运行procwatch时候就会根据环境变量的位置运行我们创建的ps文件了,然而我们的ps是一个shell的软连接,那么我们就可以截获这个root的shell了

但是这里为什么不能用/bin/bash?

vulnhub靶机nullbyte_第13张图片

总结

靶机算简单到中等难度,主要点在于发现图片中的信息,另外因为数据库用户为root,还有uploads文件夹,那么也可以用sql注入来getshell。还有就是又学习了环境变量提权这个点

你可能感兴趣的:(安全)