Nineveh - HackTheBox

nmap扫描

老样子，看80

扫一下目录

试试弱口令

账号是对的，在试试万能密码

爆破一下

hydra -l admin -P /usr/share/wordlists/rockyou.txt 10.10.10.43 http-post-form "/department/login.php:username=^USER^&password=^PASS^:Invalid Password"

疑似文件包含

必须要包含ninevehNotes.txt才可以

没发现可进一步利用信息，返回443看看

扫目录

gobuster dir -u "https://10.10.10.43/" -w /usr/share/dirbuster/wordlists/directory-list-2.3-small.txt -k，-k忽略证书安全

弱口令试试

password123，弱口令yyds

搜索一下，貌似有个rce

创建一个.php后缀的数据库，里面写入rce的内容，结合之前80端口的文件包含，应该可以拿shell

由于需要带有关键字段才能包含，所以名字就取为关键字加.php

不能带有单引号，这里会闭合，或者采用编码形式绕过

执行时进行解码

回到文件包含去包含php文件

上传检测脚本，看看有没有可以提权的

添加执行权限

没发现啥，换pspy64在看看执行命令情况

貌似有个历史漏洞，搜一下

在tmp目录下，root会定时运行update文件

本地写一个反弹shell文件

顺便加个执行权限