translate靶机—难度LOW-easy-知识点-tmp-定时任务-socat #
只做了user
Nmap扫描发现3个端口开放 #
一访问发现是个软蛋 扫描一下目录
这里发现了 一个登录框但是没有爆破也没用,我们访问一下5001端口可以也dir一下发现info目录
进入叫我们可以构造数据包访问可以获取数据
我们可以curl http://172.20.10.2:5001 -X POST -H ‘Content-Type: application/json’ -d ‘{“source_lang”:“a”,“target_lang”:“x”,“text_list”:[“就你也想要账号????”]}’ 这个可以获得密码
也可以 就你也想要账号???? 直接换成系统命令 因为你改命令发现可以执行
拿到账号密码
1:可以登录那个窗口弹shell
2:通过上面直接拿shell 都可以
拿到shell权限 #
我们拿到权限翻啊翻我翻到opt里面有 pspy64 进程查看工具可以查看定时任务等进程
发现在执行/tmp/bash
look look
1: www的 tmp目录的和普通用户的是不同的 所以你直接把命令写到tmp是不行的 我们需要一个正常用户他是可以访问tmp的
我们访问家目录发现有一个网页开了8000端口但是我们主机访问不到我们socat一下端口转发
把文件写到user.txt里面然后mv
我们主机可以访问了因为这个程序是welcome的权限 并且可以执行mv 这就是解题最优解在这里
2:同时因为是welcome的权限可以访问正常tmp所以反弹成功
拿root #
总结一下喽 #
1:ss -lntup 查看端口进程 | socat 可以转发端口 | pspy64 不用root可以看定时任务等
2:tmp目录www是隔离的 和 普通用户不同
www的文件在这里被apache隔离了