XYZCG的博客

访问sup3rs3cr3tdirlol目录，可以下载名为roflmao的文件。cat是一堆乱码，用strings从二进制文件中提取可打印的字符序列。从最初的nmap扫描中得知ftp匿名登录，用户名为anonymous，密码为空。根据字符中的提示访问0x0856BF，两个文件。，有的，使用python改善交互shell。python起web服务供靶机下载exp。试试TCP、UDP扫描，没啥东西。WireShark分析流量包。查询是否有python环境。寻找内核payload。hydra爆破SSH。

流程包含对Screen 4.5.0利用POC的“ version `GLIBC_2.34' not found”报错问题解决。细致观察测试每一个页面，都可能存在突破口遇到报错不慌张，细致地慢慢解决。

做好信息收集，利用web系统历史漏洞、数据库账户密码、修改密码等一系列操作深入渗透SUID提权。

尝试通过信息收集的内容入手，发现作用都不大，但有一点就是该网站cms是wordpress，有一款针对其的工具——wpscan，而且官方提供了一条线索如下。尝试运行后，是个被筛选的密码字典，那么利用wpscan尝试获取用户名。在mark的stuff文件中发现了graham用户的密码。利用graham的sudo权限无密码切jens账户。在后台发现Activity Monitor插件。拿到shell，不过不稳定，尝试nc反弹。利用nmap无密码切root。

敲门端口服务，通过动态的添加iptables规则来隐藏系统开启的服务，使用自定义的一系列序列号来“敲门”，，使系统开启需要访问的服务端口，才能对外访问，不使用时，再使用自定义序列号来“关门”，将端口关闭，不对外监听，该服务进一步提升了服务和系统的安全性。访问80，四个页面：Home、Display All Records、Search、Manage，后两个可能存在sql注入，输入任意值后点击submit，bp抓到包后保存为文件，sqlmap一把嗦。中有无登录的用户名，无则跳出，有则读取。

查看46996.sh，提示应将脚本上传至目标机器并告知了两种提权方法，此次使用第二种。，点击下方Save后，提交一次Contact后成功显示phpinfo页面。在主页随意点击时发现url有注入点——），使用用户名john登录成功。继续写入php代码反弹shell。爆破数据库中加密的pass。攻击机开启临时web服务。目标机获取漏洞利用脚本。运行，获取root权限。

访问https://www.drupal.org/project/php/releases/8.x-1.1下载tar.gz类型的包，在Extend模块下进行安装并启用，回到Content模块新建页面写入。往脚本内写入反弹shell，监听相关端口等待一段挺长的时间后定时任务触发，拿到权限（我这里用了同样的端口所以得先退出当前www-data的shell）这段文本是一个电子邮件通知，具体是由系统上的cron守护程序（定时任务）发送的。如果目录不存在，你会收到一个错误消息，就像你在电子邮件通知中看到的那样。

访问80是一个登录页面，使用bp抓包爆破，用户一般admin/Admin，密码字典用bp的（点击add from list，点击passwords）发现有teehee且没有密码，写入一条用户名为admin无密码且权限为0的用户，爆出admin/happy，登录给了三个命令执行功能，先nc监听。最后是邮件中有charles的密码，使用su切换，，再使用bp抓包，改redio参数为。

看起来比较有价值的也就http://192.168.1.44/templates/和http://192.168.1.44/administrator/templates/，但是后者访问发现目录和刚刚的突破点结构不同，排除。联想前面的线索，将http://192.168.1.44/templates/修改为http://192.168.1.44/templates/beez3/html/访问时，发现与前面目录极为相似。这里蚁剑只是测试路径是否正确，真正有效的应是反弹shell，因为蚁剑的连接只是暂时的。

Cewl是一款采用Ruby开发的应用程序，你可以给它的爬虫指定URL地址和爬取深度，还可以添额外的外部链接，接下来Cewl会给你返回一个字典文件，你可以把字典用到类似John the Ripper这样的密码破解工具中。枚举了三个，admin、jerry、tom，同时创建一个文本user.txt，将其保存。提到了git，可能会有个git提权，看这个意思估计是要我们拿下root了。尝试访问80端口开放的web服务，显示无法访问，可能是重定向。使用jerry登录后，点击左侧的Pages发现了flag 2。

通过msfconsole，你可以访问和使用所有的metasploit的插件，payload，利用模块，post模块等等。Msfconsole还有第三方程序的接口，比如nmap，sqlmap等，可以直接在msfconsole里面使用。一种常见的Stager Payload就是reverse_tcp，它可以让目标系统与攻击者建立一条tcp连接，让目标系统主动连接我们的端口(反向连接)。另一种常见的是bind_tcp，它可以让目标系统开启一个tcp监听器，而攻击者随时可以与目标系统进行通信(正向连接)。

可能很多时候我们使用靶机时，kali扫不出靶机IP，这时有可能是未处于同一网段，但是我们没有靶机的账户密码无法登录修改，那我们就可以通过如下操作修改IP段来解决。