首先进行端口扫描22 80
使用nmap进行vuln
nmap -sS --script=vuln 10.10.236.244
10.10.236.244/v2/admin/login.html
随便注册一个账号
查看
可以知道管理员邮箱:[email protected],并且上传文件只有管理员可以访问此功能
通过Users->ReseUser 重置用户密码,抓包修改邮箱达到->越权操作
登录用户,并且在文件上传的源码处发现了上传路径
本地监听
访问:10.10.236.244/v2/profileimages/phpshell.php
可得到shell,可查看user.txt
然后提权,我通过上传linpeas_linux_amd64,找到了可利用的PwnKit
通过GitHub找到poc
然后即可
虽然最后拿到了root权限,但是很明显这违背了出题者的意愿,最后也是参考的其他师傅wp
通过MongoDB,获取普通用户的凭据,进而通过利用LD_Reload
提权
https://whitecr0wz.github.io/posts/LD_PRELOAD/