靶机介绍
官方下载地址: http://www.vulnhub.com/entry/infosecwarrior-ctf-2020-01,446/
靶机难度:容易
在这里插入图片描述
运行环境
靶机:网络设为NAT模式,IP地址:192.168.174.141
攻击机:同网段下的kali linux,IP地址:192.168.174.135
开始渗透:
运行靶机
在这里插入图片描述
获取靶机地址
在这里插入图片描述
扫描端口,只有两个端口22端口是ssh服务的80端口是apache2服务的
在这里插入图片描述
扫描目录
在这里插入图片描述
web首页是apache服务的
在这里插入图片描述
sitemap.xml获取了index.htnl文件
在这里插入图片描述
index.htnl前端没有获取有用的信息,F12查看源码发现隐藏文件cmd.php,怀疑是命令执行的文件
在这里插入图片描述
在这里插入图片描述
将源码的隐藏文件函数删掉,出现了一个输入框
在这里插入图片描述

在这里插入图片描述
输入命令,提示尝试其他方法
在这里插入图片描述
将GET传参改成POST传参正常回显了内容
在这里插入图片描述
查看所有用户
在这里插入图片描述
查看cmd.php确实是post传参还发现了用户isw0的密码
在这里插入图片描述
使用获取的用户密码登录ssh服务
在这里插入图片描述
再isw0用户的家目录里面找到了第一个flag
在这里插入图片描述
使用sudo发现有很多可以利用的提权命令
在这里插入图片描述
https://gtfobins.github.io/gtfobins/rpm/网站查看rpm提权命令
在这里插入图片描述
在这里插入图片描述
成功提权到root
在isw2的家目录里面找到了一个flag文件
在这里插入图片描述
切换到root目录查看flag
在这里插入图片描述
成功找到flag