备战 OSCP_PwnLab_init

发现靶机

arp-scan -l

信息收集

端口信息

3306没爆破出来，39968不知道是什么鬼
只能搞80了

爆破一下登录

扫了一下目录，有config.php,index.php,login.php,upload.php和一些目录

除了images里面有张图片，其他都要登录才行

看了下这张图片，没有发现任何线索

burp爆破登录也没结果

http://172.21.137.244/config.php 应该是有内容，但是不显示出来

都看了一圈，好像实在没地方下手了
又看回了这个页面，发现url里好像可以搞搞

存在LFI漏洞

看到是连接mysql
尝试读一下之前的config.php，wdnmd，难怪爆不出来

upload.php文件

<?php
session_start();
if (!isset($_SESSION['user'])) { die('You must be log in.'); }
?>
<html>
    <body>
        <form action='' method='post' enctype='multipart/form-data'>
            <input type='file' name='file' id='file' />
            <input type='submit' name='submit' value='Upload'/>
        </form>
    </body>
</html>
<?php 
if(isset($_POST['submit'])) {
    if ($_FILES['file']['error'] <= 0) {
        $filename  = $_FILES['file']['name'];
        $filetype  = $_FILES['file']['type'];
        $uploaddir = 'upload/';
        $file_ext  = strrchr($filename, '.');
        $imageinfo = getimagesize($_FILES['file']['tmp_name']);
        $whitelist = array(".jpg",".jpeg",".gif",".png"); 
        if (!(in_array($file_ext, $whitelist))) {
            die('Not allowed extension, please upload images only.');
        }
        if(strpos($filetype,'image') === false) {
            die('Error 001');
        }
        if($imageinfo['mime'] != 'image/gif' && $imageinfo['mime'] != 'image/jpeg' && $imageinfo['mime'] != 'image/jpg'&& $imageinfo['mime'] != 'image/png') {
            die('Error 002');
        }
        if(substr_count($filetype, '/')>1){
            die('Error 003');
        }
        $uploadfile = $uploaddir . md5(basename($_FILES['file']['name'])).$file_ext;
        if (move_uploaded_file($_FILES['file']['tmp_name'], $uploadfile)) {
            echo "<img src=\"".$uploadfile."\"><br />";
        } else {
            die('Error 4');
        }
    }
}
?>

index.php文件，有意思的是该文件写了个包含

<?php
//Multilingual. Not implemented yet.
//setcookie("lang","en.lang.php");
if (isset($_COOKIE['lang']))
{
    include("lang/".$_COOKIE['lang']);
}
// Not implemented yet.
?>
<html>
<head>
<title>PwnLab Intranet Image Hosting</title>
</head>
<body>
<center>
<img src="images/pwnlab.png"><br />
[ <a href="/">Home</a> ] [ <a href="?page=login">Login</a> ] [ <a href="?page=upload">Upload</a> ]
<hr/><br/>
<?php
    if (isset($_GET['page']))
    {
        include($_GET['page'].".php");
    }
    else
    {
        echo "Use this server to upload and share image files inside the intranet";
    }
?>
</center>
</body>
</html>

靶机开放了3306，连数据库看看

就这一个表,这密码也是挺难爆破的

使用上面的面登录进去，发现还是要靠上传和index.php文件包含来getshell

让我想起了以前碰到过的一种情况

改好文件之后上传

开启监听并且尝试在index.php中包含

成功反弹到了shell，但是权限太低了


/etc/passwd和home目录信息，看到存在跟上面一样的3个用户，应该密码也是一样的

这两用户没啥东西

kane用户下还有个msgmike，是个elf文件

mike权限的msgmike？

显示没有cat

搞了好久，终于进到mike了（）

进到mike目录发现msg2root，又来?

试了半天，发现文件里写了个好东西，直接将输入写到/root/messages.txt里

这里就直接命令注入了

flag