tryhackme-Expose(暴露)

信息收集

使用nmap对靶机进行端口扫描

这里我在枚举21端口和1883端口并没有获得任何信息，接着访问1337端口进行信息收集

什么都没有，接着进行目录扫描

这里由于我的wordlists的问题，并没有扫描到想要的目录，不过也扫描到了一些常规的目录

通过参考wp，得到目录名为admin_101，其实在/admin目录有提示，但是由于我的wordlists问题，导致扫描不出结果
接着我们访问admin_101目录，和admin目录一样的登录页面，不过这次我们可以真正的登录了

根据题目的描述，这里很可能是sql注入漏洞，使用sqlmap爆破即可
这里有一个工具使用的细节，如果指定http://10.10.141.65:1337/admin_101/网址让sqlmap寻找注入点，可能寻找不到，可能需要添加--level参数和--risk参数，以及--forms参数可能查找到注入点，但是幸运的是，sqlmap工具支持识别http 请求头信息进行注入，所以这里我们使用burpsuite抓取数据包头，使用sqlmap进行sql注入爆破

接着使用sqlmap进行注入

sqlmap -r target.txt --batch --dbs --current-db

• --dbs：获取所有数据库
• --current-db: 获取数据库的版本
• --batch: 让sqlmap自动化执行

一个重要的数据库expose,使用--dump获取该数据库的所有信息

sqlmap -r target.txt --batch -D expose --dump

得到网站的密码为VeryDifficultPassword!!#@#@!#!@#1231，登录查看

没什么有用的信息，但是上述expose数据库中还有另外一个表config,其中透漏了两个文件名/file1010111/index.php和/upload-cv00101011/index.php

先访问/file1010111/index.php查看一下什么情况
需要密码输入破解出的密码easytohack

登录成功后提示让我们检查DOM树结构，右键检查查看

得到提示，使用Get方式进行file参数的传参，通过尝试为文件包含,可以包含/etc/passwd

/file1010111/index.php?file=/etc/passwd

文件包含可以读取一些文件，但是并不能反弹shell,这里我并没有尝试php://input或者data://一些伪协议，接着访问/upload-cv00101011/index.php，通过提示我们访问密码为Z开头的用户，也就是zeamkish

登录后是一个文件上传页面，但是不能点击upload按钮

初始访问权限

查看源代码是js前段验证，禁用js后将php-reverse-shell.php上传

上传成功后提示我们上传路径在源代码中

接着访问/upload_thm_1001目录

此时我们已经找到了php文件位置，在本地监听nc -lvp 4444，然后访问php文件获得shell

上述中我们查看flag.txt文件失败，但是读取ssh_creds.txt文件获取zeamkish用户的密码为easytohack@123

使用ssh连接，获得flag.txt

权限提升

接着查找suid文件，发现很多可以提权的程序

使用find提权获得root shell,读取flag.txt