NullByte: 1
项目地址:https://download.vulnhub.com/nullbyte/NullByte.ova.zip
是一个打包好的镜像文件
注意:导入 vmx 时一定要选择我已移动,否则没网
使用 Nmap 扫描出开放服务及操作系统版本
CTF
gif 隐写
发现 80 端口是一张图片
扫描目录有 phpmyadmin
使用工具 exiftool 看看元数据,发现一个 kzMb5nVYJw
猜测是路径,URL 访问拿到一个输入框,需要输入 Key
弱口令
Key
查看网页源代码发现有提示不存在 SQL 注入,且密码并不复杂
使用 BP 跑字典爆破出 Key 值为
1 | elite |
输入后又来到一个页面,这次需要输入用户名
SSH
利用下面 SQL 注入 dump 出的账号密码连接,只不过端口被改成了 777
SQL 注入
username
输入双引号报错
使用 SQLMap 梭哈出账号密码
哈希碰撞解出用户名密码
1 | ramses:omega |
提权
环境变量劫持
查找具有 SUID 权限的文件
1 | find / -type f -perm /4000 2>/dev/null |
发现有个 /var/www/backup/procwatch 文件
运行该文件发现它正在运行了 ps 命令
修改环境变量
1 | echo $PATH |
新建一个 PS 文件
1 | echo "/bin/sh" > /tmp/ps |
最后运行提权成功
