Xs_20240309的博客

发现一个关闭着的22端口，一个80端口，还是apache 2.2.21的，和第一台靶机一样的版本，等会可以试一下有没有用，还有一个8080。第二个呢，exp都是c写的，就得考虑到目标靶机上有没有gcc，还得有wget和curl嘞。首先我们要找到靶机的ip，先用kali扫一圈同网段存活的ip，再将靶机打开，然后接着再扫一遍。可以先测试一下这个rec.php文件有没有创建，可以直接在新的网页输入命令，看看有没有回显。可以发现8080端口应该是运行着phptax的应用，那就好办了，试试能不能搜到这个漏洞。

这个可以允许从数据库内部调用系统本机代码,调用用户的权限执行，如果udf是由root命令执行，那执行的命令也是root身份。报错的最后，显示了目标系统支持的算法。这个表存的是用户名和密码，这一看john和1234密码不就来了，赶紧去登录看看！知道john用户，开始对密码进行sql注入，可以用bp爆破字典，我这边直接尝试的。现在已经获取到了两个用户的密码了，就可以尝试SSH连接。退出后，切换账号输入john密码，查看权限，成功提权。找了网上一大堆资料，看了好多的逃逸方法，都不行。

一想刚开始的域名映射，那应该是得访问域名了，这些得换kali的浏览器了（毕竟是在kali中映射的）回头想了一下，第一个遇到的登录框有一个CMS框架，为什么不去搜一下看看有没有漏洞存在呢。一大丢英文页面，啥也不懂，就看到一个登录页面，试用弱口令和万能密码也没进去。打开/gallery的时候，全是图片加载不出来的东西，点一个超链接就跳转到。看到一个是要用msf的，算了，因为考试只能使用一次，不到万不得已不必要用。从信息收集中，知道有。这个表中包含了账号和密码，并且是加密过的，不知道是什么类型的密码，

打开网页，F12，找到原网页源代码Ping a Machine on the Network 右击以html格式修改，将上述代码复制，并将。根据上图版本信息，直接下载33321.c，发现33321.c编译有问题，换到1397.c，下载完编译还是报错，有问题，这条路走不通了。但是这也没啥提示啊，看一波源码是不是有泄露的地方，这里有地方没有闭合，上面代码有传参点会将输入的内容传到。先用arp扫一下，等待靶机开机后，在扫一下，确定192.168.17.177是靶机IP。获取到靶机的ip后，开始对ip的扫描。

（细心的小朋友该发现了，这个脚本就是上面标框地方的命令，可想而知，其实编译的时候脚本就已经在提权了。直接下载最新的47080.c （也可以直接到exp官网检索https://www.exploit-db.com/一样的效果，不过推荐到官方下载exp）（也可以先不上线靶机，记录一下地址，再将靶机上线，再看一下加了哪台ip就是靶机的ip）就这样，完美的实现了两个漏洞的利用，并成功提权到root，接下来不就看你的表演了🐎。在枚举的时候，发现中间件apache1.3.20 mod_ssl版本中的漏洞。