LAMP SecurityCTF5–打靶记录

靶机设置

无需调整。打开就是NAT模式

Nmap扫描

主机发现

sudo nmap -sn 192.168.9.150/24

新增IP为靶机IP：192.168.9.161

TCP开放端口扫描

sudo nmap -sT --min-rate 10000 -p- 192.168.9.161 -oA nmap/tcp

sed -n &#039;/open/p&#039; ./nmap/tcp.nmap | awk -F / &#039;{print $1}&#039; | paste -sd &#039;,&#039;
ports=$(sed -n &#039;/open/p&#039; ./nmap/tcp.nmap | awk -F / &#039;{print $1}&#039; | paste -sd &#039;,&#039; )

UDP开放端口扫描

sudo nmap -sU -top 20 192.168.9.161

没有啥新信息

‍

TCP详细信息扫描

sudo nmap -sT -sV -sC -O -p$ports 192.168.9.161 -oA nmap/detail

smb都是disable

‍

vuln漏洞脚本扫描

sudo nmap -sT --script=vuln -p$ports 192.168.9.161 -oA nmap/vuln

80有SQL注入。
80有phpmyAdmin
smb没有成功的。

‍

Getshell

80-简单浏览

http://192.168.9.161/mail/src/login.php

http://192.168.9.161/~andy/data/nanoadmin.php

‍

看了一下nmap讲的sql注入，没法利用

‍

NanoCMS

Authenticated。这个利用需要账密。

尝试直接google，看看有没有其他exploit：

http://192.168.9.161/~andy/data/pagesdata.txt：读取到hash-9d2f75377ac0ab991d40c91fd27e52fd

‍

hashcat解码：

hashcat -m 0 -a 0 9d2f75377ac0ab991d40c91fd27e52fd /usr/share/wordlists/rockyou.txt
# shannon

‍

验证一下：admin:shannon

登陆成功

‍

发现可以修改、上传页面。

于是在已有页面里添加一句php反弹shell：Pages & Options -> edit -> save page content

在kali上开启监听再访问页面：

‍

提权

基础信息

‍

python -c 提升交互性

‍

家目录下查找密码提权

root
patrick
jennifer
andy
loren
amy

‍

可用的用户比较多，可以通过搜索它们用户目录下的文件来尝试查找密码：

grep -R -i pass /home/* 2&gt;/dev/null
# -R：递归搜索
# -i：忽略大小写
# pass：过滤的关键词是pass
# /home/*：递归搜索的目录
# 2&gt;/dev/null：权限比较低，就把报错都丢掉

一大半都是andy用户目录下的，我们能看到而且没啥用。

关键是patrick目录下的，检索到一个/home/patrick/.tomboy/481bca0d-7206-45dd-a459-a72ea1131329.note，还有一个/home/patrick/.tomboy.log:12/5/2012 7:25:03 AM [DEBUG]。

看看：

密码：50$cent

‍

拿下！