nmap 是扫描出 33447 开着 apache 的服务
访问的时候网页标题提示 /Challenge,然后去访问一下,有个登陆框但是没测出来 sqli,扫目录得到下面这些
再去扫描 Magic_Box 目录,得到以下:
在 command.php 可以命令执行,用 echo 写一句话进去,这里 Magic_Box 目录写不上,可以写在 ../ 中
蚁剑连接
找到了 mysql 的 root 账号的密码,然而不能连
find / -user acid 找到几个比较有意思的东西,可以用
find / -user acid 2>/dev/null
2 是标准错误
/dev/null 是一个特殊的设备文件,这个文件接收到任何数据都会丢弃,就可以不输出那些 Permission denied 了
https://blog.csdn.net/gramdog/article/details/80374119
把那个流量包传出来看看
追踪 tcp 流发现一个对话?saman/1337hax0r 这个就是用户名跟密码了
额,蚁剑连上貌似很多都不能用,直接写个 php 的反弹 shell
既然知道用户名跟密码了...直接 sudo 就可以了
字数又双叒不够申请原创
最近做了个 PWN 的栈迁移的题目
布置迁移的 payload:要迁移的地址减去 0x4(64 位 0x8)加 leave; ret 的地址
往迁移的地方写的内容是 system 的地址加返回地址(随意)加 "/bin/sh" 的地址
