DC 8

DC-8

扫一下端口

在左边可能有sql注入

sqlmap 跑一下 

跑出来两个密码

保存成 txt 爆破一下

john 密码文件 –wordlist ="字典" 不加字典路径的话就用默认的字典
跑出来 john 密码是 turtle

因为没截好图，所以直接看结果，这里也涨了个知识
john 工具对于同一个 shadow 文件只会进行一次爆破，如果第二次执行 john shadow 是不会得到结果的
如果想查看上一次爆破的结果，可以加上个 --show

目录扫描发现了 user 是一个登陆界面

登上去之后找到一个可以编辑的界面，nc 反弹一个 shell

在 contact us 时得到 shell

find / -perm -u=s -type f 2>/dev/null 搜一下看看能不能 suid 提权
https://www.exploit-db.com/exploits/46996
直接复制然后写到 tmp 目录下面，然后 chmod 777 exp.sh 给他权限
./exp.sh -m netcat 拿到权限

原文: https://www.yuque.com/hxfqg9/web/sgtba8