::: {.container}::: {.post}::: {.show-content}靶机下载地址：扫一扫，linux系统，发现只开了80、443，进去看一看，web页面是一个模拟linux终端的页面 ::: {.image-package}{.uploaded-imgwidth=”auto” height=”auto”}\ ::: {.image-caption}:::

::: {.container}::: {.post}::: {.show-content}靶机下载：修改靶机mac地址为08:00:27:A5:A6:76，然后愉快的开始做实验。 只开了80端口，Linux 2.6.32 - 3.10 一、侦察 Apache/2.2.15 (CentOS) DAV/2 PHP/5.3.3 http://192.168.1.115/

天注定

《天注定》被禁了，甚至连被禁的原因都语焉不详。对此我颇不以为然，中国电影的审查就是这样大惊小怪无厘头。 可是当我时隔三年真正看了这部电影以后，我才觉得这样的电影简直不可能不被禁，能在网络上找到种子完整观看本片，已经是我国言论自由、文化管制宽松的一个巨大进步了。 本片将当年备受争议轰动全国的三桩刑案外加富士康跳楼事件一网打尽，以近乎白描的手法记叙了胡文海杀村官案、周克华跨省抢劫案、邓玉娇刺官案以及富

乌云知识库虚拟机

如此配置，就相当于ubuntu是服务器，本机是客户端，在浏览器上通过端口5000发送请求。 不用了以后将虚拟机挂起再关闭（无需将虚拟机关机），下次打开直接就可以用了。 记得拍摄虚拟机快照，万一停电电脑关机会丢失数据，别问我怎么知道的。 ::: {.image-package}\ ::: {.image-caption}:::::: 2017.11.11 更新：有人搭建了服务器，域名是http://

Pwnlab：LFI

二进制分析的知识。。 向各位提供writeup的大佬低头。。 总结： 本次学习了上传+文件包含拿webshell的方法。 linux base64解码的命令 echo “(base encoded text past here without braket)” | base64 -d:::::::::

单用户模式救援模式

连接，关闭kali。 把kali.vmx用记事本打开，第一行添加 bios.forceSetupOnce ="TRUE"，保存，并开启kali ::: {.image-package index=”3”}{.uploaded-imgwidth=”auto” height=”auto”}\ ::: {.image-caption}:::::

还是kioptrix（LFI与注入）

目录应该是id=1，如果没有正确传参，那么sql查询语句就会出错。 再次验证一下，通过id=1，页面正常，id=1'，页面出错，错误提示和上图一样。基本可以确认漏洞。理由。 用sqlmap如行云流水般的获取到数据库管理员账号和密码。这里就不展开sqlmap用法了，不然文章就太长了。 下一步是登陆后台，传webshell，获取最高权限。 后续:::::::::

g0rmint（一句话写入log)

cd /var/www/ 目录下有html、backup.zip 又有一个备份文件 直接解压，权限不够，于是解压到tmp目录 unzip backup.zip -d /var/tmp cd /var/tmp find db.sql cat db.sql ::: {.image-package}{.uploaded-imgwidt

g0rmint

解析登陆表单的逻辑，有一点疑惑：将表单提交给本页面。不知道是谁在处理参数，判断用户名/密码的正确性。当时还怀疑那十几个js脚本。 其实就是本页面的login.php脚本处理提交的表单，不过php脚本在客户端是看不到的。 ::: {.image-package}{.uploaded-imgwidth=”auto” height=”auto”}\ ::: {.image-

kioptrix

本地文件包含：简而言之，在目标网站上，url直接是这种类型：http://www.xxx.com/index.php?page=1.html 就是说，网页通过变量page来获取访问者要求的内容，然而，如果给变量page传递其他文件，甚至是服务器上不打算公开的文件。该脚本还是会乖乖取过来递给攻击者。这TM就很尴尬了，权限没设置好啊。 好，我们现在分析一下，网页做了什么。 导航按钮有，案例、沙盒、延迟