Vulnhub-LAMPSecurity:CTF7

0x00 Introduction

这个靶场也比较简单，就不画思维导图了。

0x01 端口扫描

还是先从80端口开始探索。

0x02 Web渗透及提权

看起来像是个培训机构的主页 ：

但是翻了一遍没发现什么可利用的点。还有其他几个端口开了 http 服务，访问 901 端口试试：

试了 sql 注入和弱密码都无果，访问 8080 端口看看：

输入个引号，发现存在 sql 注入漏洞:

直接万能密码登录：

找到了用户管理界面：

此时发现 8080 端口就是 80 端口的后台。

发现一个文件上传点：

接下来要找到这个文件的位置。gobuster 扫一下目录：

在 assets 目录下找到了刚才上传的后门：

哥斯拉连接后门。查看 /etc/passwd：

发现很多有 bash 环境的用户，用上一篇学到的 grep 命令查找 ‘pass’ 字符未果。

挨个文件看看。发现有个 db.php:

数据库连接居然不需要密码！

连上数据库之后，找到了一系列用户名及密码：

这和之前在 /etc/passwd 看到的用户对上了，这些密码很有可能该主机的用户密码。

只有 brain 有备注，说明这个用户很重要，权限可能比其他人都高。但是这时我意识到，因为 10000 端口也是个登录界面，所以在后台我把他的密码改了！改了也没登录成功，属于是得不偿失了。

这下彻底登录不了 brain 用户了，没办法看了 wp 之后，得知此处密码是 my2cent。

输入 su brain，不知道为什么显示没有该用户：

于是用 ssh 登录，报错：

这是由于靶机太老了，ssh的版本有问题。不过我们可以指定修改一些参数实现登录：

ssh -oHostKeyAlgorithms=ssh-rsa,ssh-dss brian@192.168.86.137

 运行 sudo -l 之后发现已经权限是 all，直接一键提权：
 

0x03 Conclusion

这个靶机给我的教训就是，一定要三思而后行。在做某些操作时，先想想可不可逆，执行之后可能会有什么后果。