CH4INRULZ靶机笔记 | Go Forward = 人生像攀登一座山，而找寻出路，却是一种学习的过程，我们应当在这过程中，学习稳定、冷静，学习如何从慌乱中找到生机

# CH4INRULZ 靶机笔记

首先需要进行主机发现

1	思路: 通过arp-scan -l 进行扫描，找到目标主机的MAC地址为00:0c:29:ed:8a:e7

利用 nmap 进行初步探测，发现开放了 21、22、80、8011 端口

发现有两个 Web 端口，利用 dirb 进行扫描其目录

1 2	dirb http://IP (发现只扫描出几个目录) dirb http://IP:8011/

浏览器发现登录后台

继续进行收集，发现 dirb 存在 index.html.bak 文件

将其下载下来，发现存在 frank 用户及密码（利用 john 工具破解）

利用这个用户进行登录

发现存在上传点，上传反弹图片木马，进行 getshell

将 gif 图片马进行上传

1 2	成功上传后，才是重头戏，需要找到文件路径转移目标到8081端口，发现存在一些php文件（包含）

1	发现可以访问files_api.php，看文件名可能为文件包含

1	尝试利用GET请求进行文件包含/etc/passwd (失败)

1	转变思路：尝试使用post请求进行文件包含,成功包含passwd文件

既然能进行任意文件读取，那么我们可以读取upload.php来获得文件上传路径，但是这里也不知道80端口文件路径。这里通过apache的配置文件/etc/apache2/sites-enabled/000-default来获得

1 2	思路一：猜测路径，看提示说是my uploads,因为用户为Franch，成功找到上传路径http://IP/development/uploader/FRANKuploads/

1
2
3

思路二：
利用php://filter结合php伪协议读取uploader.php里面的内容包含
/var/www/development/uploader/upload.php

1	将其进行base64解码，找到上传路径FRANKuploads/

1	方法一：通过文件包含语句，包含已上传的gif木马，成功getshell

1	方法二：也可以利用到kali里面自带的php-reverse-shell.php文件。路径是/usr/share/webshells/php/php-reverse-shell.php

1	将IP地址修改成kali的地址和kali开启的监听端口，加上GIF89a图片头改成gif后缀上传

1
2
3

nc 进行监听端口1234
nc -lvvp 1234
同时文件包含访问我们刚刚上传的那个用来反弹shell的文件。

1	uname -a 查看内核版本为Linux ubuntu 2.6.35-19-generic

1 2	搜索可利用的提权脚本 searchsploit linux 2.6.3

1	发现可以通过脏牛提权40839.c,内核提权15023.c，15285.c进行渗透