咱们好,今日给咱们带来的靶机是SP eric,这个靶机有两个flag,咱们的方针便是把它们都找出来,flag的方位现已供给,如下:
· /root/flag.txt
· /root/eric/flag.txt
靶机下载地址:https://www.vulnhub.com/entry/sp-eric,274/
浸透办法
· *** 扫描
· 拜访HTTP服务端口
· 运用dirb遍历目录
· 运用gitdumper来下载git文件
· 运用extractor来提取git文件
· 遍历登录凭据
· 上传PHP反向shell
· 获取用户flag
· 运用PHP shell修改文件
· 获取root用户flag
Writeup
首要咱们用nmap来对这个靶机进行端口扫描,经过扫描能够看到开放了80端口,如下图,咱们还看到了扫出来了一个Git目录。
nmap -A 192.168.1.18
已然开了80,咱们就在浏览器中拜访一下,看到如下信息,“blog under construction”(博客正在建设中),如图,看起来如同没什么可发掘的,咱们再试试其他办法。
那咱们就来试一下目录遍历,这儿咱们运用dirb这款东西。扫出来了一个admin.php文件和一个upload目录。OK,咱们将对它们进一步发掘。
dirb //192.168.1.18
拜访admin.php,是一个表单,有username和password这两个字段。看到表单,咱们立刻就会想到SQL注入。所以咱们花了一点时刻进行测验,无果,只好抛弃,只能再测验其他办法。
现在,持续看nmap扫描成果,咱们找到了一个Git库。在google上查找一番之后,咱们找到了一个Git走漏运用东西GitTools。咱们把东西下载到桌面,如下图,接着咱们进入到GitTools东西目录,ls一下,咱们能够看到有3个东西:Dumper,Extractor和Finder。咱们将运用这个东西来遍历咱们发现的Git库。
git clone //github.com/internetwache/GitTools.git
cd GitTools/
ls
首要,咱们进入到Dumper目录,运用gitdumper东西。这会dump Git库中的一切文件。咱们只需求指定一个下载目录即可,如下图:
现在咱们现已成功dump了Git库中的一切文件。接着该运用Extractor东西了。进入到Extractor目录中,运用Extractor东西,需求指定两个目录,一个是方才dump文件的目录,一个是提取文件的目录,如下图:
./extractor.sh ../Dumper/dest-dir ./dest-dir
Extractor会依据Git中的commits来创立目录,如下图所示。Git中有3个commits,所以创立了3个目录。首要,咱们进入其间一个目录“3db5628b550f5c9c9f6f663cd158374035a6eaa0”,发现里边有三个文件:admin.php,commitmeta.txt和index.php。咱们用cat指令来检查一下admin.php这个文件,发现了之前拜访80端口时表单中的用户名和暗码,咱们把这个凭据符号出来了,如下图:
回到之前的表单页面,然后输入凭据,成功登陆。登进来之后,咱们发现了更多的表单,一个是“add new post”,还有一个是“add site to blogroll”,都是在建设中,如图:
咱们在表单中随意填入一些信息,然后在上传文件的方位挑选一个PHP反向shell。填完之后,咱们点击add按钮来增加,如图:
尽管文件现已上传了,但咱们要获取到会话,仍是要在靶机上拜访一下这个文件。回到nmap扫描成果,咱们找到一个“upload”目录。猜测一下,方才上传的文件应该是传到了upload目录下,所以咱们在浏览器中拜访一下upload目录下的该文件,如下图:
另一方面,咱们需求翻开一个终端,创立一个nc监听器,监听的端口是PHP反向shell脚本里设置的端口。很快,咱们就取得了靶机的shell。不过,取得的如同是一个Python shell,要取得靶机的体系shell,咱们需求运用Python的一个句子,如下图。进入靶机的体系shell之后,咱们就能够ls检查一下当时目录内容了,发现了eric目录,进入到该目录,找到了之一个flag。一起,在这个eric目录下,咱们还发现了一个backup.sh文件,这个文件是以root身份运转的,而且具有一切的权限,如下图所示:[1][2]黑客接单网