扫一下端口

image.png
image.png

在左边可能有 sql 注入

image.png
image.png

sqlmap 跑一下

image.png
image.png

跑出来两个密码

image.png
image.png

保存成 txt 爆破一下

image.png
image.png

john 密码文件 –wordlist =”字典” 不加字典路径的话就用默认的字典
跑出来 john 密码是 turtle

image.png
image.png

因为没截好图,所以直接看结果,这里也涨了个知识
john 工具对于同一个 shadow 文件只会进行一次爆破,如果第二次执行 john shadow 是不会得到结果的
如果想查看上一次爆破的结果,可以加上个 –show

目录扫描发现了 user 是一个登陆界面

image.png
image.png
image.png
image.png

登上去之后找到一个可以编辑的界面,nc 反弹一个 shell

image.png
image.png

在 contact us 时得到 shell

image.png
image.png

find / -perm -u=s -type f 2>/dev/null 搜一下看看能不能 suid 提权
https://www.exploit-db.com/exploits/46996
直接复制然后写到 tmp 目录下面,然后 chmod 777 exp.sh 给他权限
./exp.sh -m netcat 拿到权限

image.png
image.png
image.png
image.png