总结:本靶机给了很多目录,对于信息收集考察的比较严格,给了一个数据库,很多时候容易陷进去,拿到用户权限登录后,也需要大量的信息收集,虽然可以在数据库里找到root和密码,但是不是靶机本身的,最终利用suid发现可疑目录,查找日志后利用脚本提权
一、靶机搭建
选择扫描虚拟机
选择路径即可
二、信息收集
官方信息
名字: eLection: 1
日期: 2 Jul 2020
难度:中等,类似于OSCP扫ip
靶机ip:192.168.108.153
扫开放端口和服务
开放了22和80端口
指纹探测
nmap 192.168.108.153 -p 22,80 -sV -sC -O --version-all
有些奇怪的信息,之前没有见过,先留下来
OpenWrt 21.02 (Linux 5.4), MikroTik RouterOS 7.2 - 7.5 (Linux 5.6.3)
目录扫描
dirb扫描,这里扫描出来的目录太多了,就不放图片了,语法如下
dirb http://192.168.108.153
dirsearch扫描
信息如下:
http://192.168.108.153/phpinfo.php
http://192.168.108.153/phpmyadmin
http://192.168.108.153/phpmyadmin/index.php /doc/html/index.php
http://192.168.108.153/robots.txt
三、Web渗透
信息收集
查找历史漏洞,发现一个,先下载下来
查看一下,发现一个网站,访问一下
https://cfreal.github.io/carpe-diem-cve-2019-0211-apache-local-root.html
是一个本地权限提示,展示用不到
看看robots.txt,发现几个目录文件
看看sql页面,需要账户密码
访问上面几个目录
在findsmothing插件下发现几个路径
访问/admin,也是需要密码
还是重新扫描一下路径把,发现一个/logs文件,日志文件
访问看看
账户:love 密码:P@$$w0rd@123
ssh登录
尝试了之前的登录框发现都登录不上,进行ssh连接
四、提取
信息收集
找找可用信息
有了密码,看看可用的命令
进入家目录查看,没有什么信息
进入 /var/www/html目录下,发现之前的admin目录,进去看看
由于一开始的页面提到了include,看看inc文件,访问下面三个文件
在conn.php文件下发现数据库账户密码
用户名:newuser 密码:password
mysql登录,找不到什么有用信息
登录数据库页面,在users表下找到了root的秘密
解密一下,得到密码:toor
suid提权
重新登录也没有什么可以的信息,利用以下命令找找suid
find / -perm -u=s -type f 2>/dev/null
发现一个可疑文件
进去看看,找到一个日志文件,访问
只有版本号一个信息
看看历史漏洞吧
下载第一个并开启本机web服务,上传文件
这里在home目录下下载不成功,起初以为是下载命令不能用,切换之后发现还是一样,最终在/tmp目录下成功下载,所以说在提取的时候,要多利用/home和/tmp两个目录以及一些不常见的文件
成功下载后,执行以下命令
gcc 47009.c -o 47009
chmod 777 47009
.*47009
提取成功
在/root目录下发现flag
解密看看
![[HDCTF 2023]double_code _wp](https://img2024.cnblogs.com/blog/3599043/202503/3599043-20250309170206785-1506186660.png)
