HackMyVM-Quick4

简介

• 靶场地址：https://hackmyvm.eu/machines/machine.php?vm=Quick4

环境：

• 攻击机：kali 192.168.43.30
• 靶机：virtualbox 192.168.43.31

开始渗透

先用nmap和dirsearch扫一下，发现22和80两个端口
dirsearch也扫出了一个有意思的路径 /.well-known/security.txt

访问了一下 /.well-known/security.txt 它说源代码里有彩蛋，但是没有找到什么有用的



到这里没什么思路了，用gobuster仔细的扫一下

果然有个之前没扫到的 /employee
直接访问看到一个登录框

试了一下万能密码 ' or '1'='1 居然能直接登录到管理员的后台

在这个后台有个对员工的管理界面，这里能上传头像，联想到文件上传漏洞

直接传一句话木马，改后缀无法上传，无法识别为png、jpg、gif
所以试一下mime头绕过，传个gif的一句话木马，成功上传

但是找不到文件上传的路径在哪，后来发现要在文件前面加一个2_,ok成功访问到我们上传的马了

连接蚁剑成功

访问user.txt拿到第一个flag

Getshell

这里一直反弹不到shell，因为一直用的是反向shell，所以干脆就试一下msf的正向shell

msfvenom -p linux/x64/meterpreter/bind_tcp LPORT= -f elf > shell.elf

• 生成正向shell程序文件，将程序传到服务器上

• 在kali上开msf的监听模块，设置好参数后开始监听

• 在蚁剑终端上执行shell.elf程序，成功获取shell

升级一下shell，直接先用linpeas扫一下,查看定时文件，发现定时文件有个backup.sh
同样linpeas也扫出了backup.sh,有利用空间

查看一下这个backup.sh文件：

cd /var/www/html/
tar czf /var/backups/backup-website.tar.gz *

这里的tar压缩有个通配符* ----> tar命令通配符注入提权

• 构造一个反弹shell的文件，命名为 shell.sh ,将文件放到 /var/www/html/ 目录下
• 构造两个文件：

touch -- "--checkpoint-action=exec=bash shell.sh"
touch -- "--checkpoint=1"

• 在kali上监听1234端口：nc -lvvp 1234
  等待定时文件启动，然后成功连上shell

访问/root/root.txt，拿到最后一个flag

靶机知识点总结

1. tar命令通配符提权
2. msf正向shell

---

结束!!!!!