Flick

flick

nmap 扫描端口

当使用 ssh 去连接的时候又一长串的 \x 十六进制的字符串

在转成字符串然后解码多次 base64 之后出现了一串不知道啥意思的字符串 tabupJievas8Knoj

使用 nc 去连接一下 8881 端口，要求输入一个 password，输入之前转出来的那串，结果成功了

然后再扫描端口就能扫到 80 端口了

有个登录页面，但是没有测出来 sql 注入，旁边有个提示说是个 demo，然后爆破出来 demo/demo123 的账号密码

通过 cookie laravel_session 可以知道这是个 Laravel 的框架，登录后存在文件上传，但是文件名是随机编码的，没法解析
那些图片可以下载下来，有个 filename 的参数，然后发现过滤掉了 ../
使用 download?filename=..././public/index.php（双写绕过）可以把 php 文件下载下来
另外还有它的数据库文件 ../app/database/production.sqlite 下载下来用 navicat 打开

保存下这些账号密码，然后去 shh 登录一下试试（那些 password 是明文存储的）
dean/FumKivcenfodErk0Chezauggyokyait5fojEpCayclEcyaj2heTwef0OlNiphAnA
登录成功了！

目录下有个 message.txt

通过同一目录下的 read_docker 来读取文件，他会自己在后面加上 /Dockerfile

那我们可以通过软链接把 robin 的密钥跟 Dockerfile 链接起来
ln -s /home/robin/.ssh/id_rsa Dockerfile

保存i下来，然后通过这个密钥登录 robin（注意文件权限别太高 600 就行，不然不能登录）
ssh -i 1.rsa robin@192.168.149.200

里面有 docker

然后给一个 ubuntu 镜像挂载 /root/ 目录，想用哪个挂在哪个
docker run -v /root:/root/ -it ubuntu

通过 sudo -l 可以发现 /opt/start_apache/restart.sh 下面的不需要密码就可以 sudo 运行

那可以直接挂载 /opt 到 docker 然后改一下 /opt/start_apache/restart.sh
然后 sudo /opt/start_apache/restart.sh 就可以拿到 root 权限了

原文: https://www.yuque.com/hxfqg9/web/fb84x0