LAMPSecurity: CTF7

项目地址:https://download.vulnhub.com/lampsecurity/CTF7plusDocs.zip

是一个打包好的镜像文件

注意:导入 vmx 时一定要选择我已移动,否则没网

使用 Nmap 扫描出开放服务及操作系统版本

SQL

Create account

1
123' and (length(database())=5) and '1'='1

profile

Please log in(两个)

Reservations Delete

抓包删除给参数 id 添加单引号报错

Users Edit

Reservations Delete

这里同样存在 SQL 注入

XSS

Please log in(两个反射)

抓取登录包加单引号发现报错

两个参数都存在反射型 XSS

Reservations Delete(反射)

一模一样的套路,这个 id 参数同样存在 SQL 注入

Users Edit(反射)

Add a new Training(两个存储)

第二个则是在前台弹窗了

Edit Reading(三个存储)

Create account(反射)

测试 SQL 注入发现回显参数值

Newsletters(两个存储)

第二个需要在前台访问

Your Profile(两个存储)

Register for Training(十个存储)

每个框都存在

弱口令

Please log in

使用万能密码登录

1
admin' or 1=1 #

SSH

继承在 SQL 注入的基础上

1
brian:my2cents

RCE

Edit Reading

存在文件上传漏洞

扫描后台发现静态文件夹

进去看到 WebShell

提权

Python 升级为交互式 Shell

1
python -c 'import pty;pty.spawn("/bin/bash")'

发现数据库默认密码为空

1
cat db.php

登录成功

1
mysql -u root -p

脱库拿到所有账号密码

通过 SSH 连接 brian 用户

Sudo

直接提权