靶机-Oopsie

信息搜集#

打开 80 和 22，22 一般是爆破，很少有漏洞可以利用，着重 80

打开 web 页面，dirbuster 目录扫描,login.php界面走一波，输入密码？我哪来的密码，原来这里的密码要上一题得到的密码，有联系的呀 upload 页面需要更高级管理用户，account 页面存在 id 参数，尝试存在横向越权漏洞 爆破 id，得到super admin的对应 id

修改 access id，访问 upload，成功访问

上传文件，可以反弹 shell，但是我这里报错，不知道为什么？ 这里选择上传一句话，可以连接，但是过一会二，就失效了，好像服务器端在刷新目录，哭了。只能 👀wp，无法体会反弹 shell 的快感。

在其他目录读到密码。。。想到了 ssh 的 22 端口 ssh 登录

进入主机 shell 做的事：

id:发现用户在一个特殊的组里面-------思路：添加用户到某个特定的组，是为了让用户能有执行某些命令的权限，通常这些程序或这命令的名字，会跟组名相同（例如 virtualbox 会将用户添加到 virtualbox 组中） 找到和组名相同的文件

find / -name bugtracker 2>/dev/null

提权#

当找到一个敏感文件，该做些什么？

    查看文件详细信息，设置了 setuid/setgui 权限并且拥有者是 root 是最希望看到的结果 - ls -al
    如果是可执行文件，运行，并尝试多种输入，尽可能触发错误，能收集 更多信息

发现bugtracker文件是个可以运行的文件，并且设置了 setuid，运行后发现，它会调用 cat 命令，所以可以修改 cat，运行bugtracker来提权