跳转至

Acid

Acid

nmap 是扫描出 33447 开着 apache 的服务

image.png

访问的时候网页标题提示 /Challenge,然后去访问一下,有个登陆框但是没测出来 sqli,扫目录得到下面这些

image.png

再去扫描 Magic_Box 目录,得到以下:

image.png

在 command.php 可以命令执行,用 echo 写一句话进去,这里 Magic_Box 目录写不上,可以写在 ../ 中

image.png

蚁剑连接

image.png

找到了 mysql 的 root 账号的密码,然而不能连

image.png

find / -user acid 找到几个比较有意思的东西,可以用
find / -user acid 2>/dev/null
2 是标准错误
/dev/null 是一个特殊的设备文件,这个文件接收到任何数据都会丢弃,就可以不输出那些 Permission denied 了
https://blog.csdn.net/gramdog/article/details/80374119

image.png

把那个流量包传出来看看

image.png

追踪 tcp 流发现一个对话?saman/1337hax0r 这个就是用户名跟密码了

image.png

额,蚁剑连上貌似很多都不能用,直接写个 php 的反弹 shell

image.png

既然知道用户名跟密码了...直接 sudo 就可以了

image.png

原文: https://www.yuque.com/hxfqg9/web/ywnve7