LampSecurity CTF5

usershell

目标IP:192.168.205.138

端口信息

22/tcp    open  ssh
25/tcp    open  smtp
80/tcp    open  http
110/tcp   open  pop3
111/tcp   open  rpcbind
139/tcp   open  netbios-ssn
143/tcp   open  imap
445/tcp   open  microsoft-ds
901/tcp   open  samba-swat
3306/tcp  open  mysql
51127/tcp open  unknown

Web服务为Drapul，在页面上存在很多跳转，其中Blog跳转到一个NanoCms

查找漏洞

http://www.securityspace.com/smysecure/catid.html?id=1.3.6.1.4.1.25623.1.0.100141

密码hash泄露

http://192.168.205.138/~andy/data/pagesdata.txt

果然泄露了密码的hash值，cmd5解密明文为shannon，所以接下来以admin:shannon登录后台

exploitdb中也描述 NanoCms存在任意文件写入漏洞，在后台添加一个页面，Title为文件名前缀，Content为文件内容

http://192.168.205.138/~andy/data/pages/2.php，反弹shell，拿到apache权限

rootshell

主要考察对目标现有文件的收集

在/home/patrick/.tomboy/481bca0d-7206-45dd-a459-a72ea1131329.note存放着root用户的密码

su切换过去即可

自动化枚举grep -R -i password /home/* 2> /dev/null