咱们好，今日给咱们带来的靶机是SP eric，这个靶机有两个flag，咱们的方针便是把它们都找出来，flag的方位现已供给，如下： · /root/flag.txt · /root/eric/flag.txt 靶机下载地址：https://www.vulnhub.com/entry/sp-eric,274/ 浸透办法 · 网络扫描 · 拜访HTTP服务端口 · 运用dirb遍历目录 · 运用gitdumper来下载git文件 · 运用extractor来提取git文件 · 遍历登录凭据 · 上传PHP反向shell · 获取用户flag · 运用PHP shell修改文件 · 获取root用户flag Writeup 首要咱们用nmap来对这个靶机进行端口扫描，经过扫描能够看到开放了80端口，如下图，咱们还看到了扫出来了一个Git目录。 nmap -A 192.168.1.18

已然开了80，咱们就在浏览器中拜访一下，看到如下信息，“blog under construction”（博客正在建设中），如图，看起来如同没什么可发掘的，咱们再试试其他办法。

那咱们就来试一下目录遍历，这儿咱们运用dirb这款东西。扫出来了一个admin.php文件和一个upload目录。OK，咱们将对它们进一步发掘。 dirb //192.168.1.18

拜访admin.php，是一个表单，有username和password这两个字段。看到表单，咱们立刻就会想到SQL注入。所以咱们花了一点时刻进行测验，无果，只好抛弃，只能再测验其他办法。

现在，持续看nmap扫描成果，咱们找到了一个Git库。在google上查找一番之后，咱们找到了一个Git走漏运用东西GitTools。咱们把东西下载到桌面，如下图，接着咱们进入到GitTools东西目录，ls一下，咱们能够看到有3个东西：Dumper，Extractor和Finder。咱们将运用这个东西来遍历咱们发现的Git库。 git clone //github.com/internetwache/GitTools.git cd GitTools/ ls

首要，咱们进入到Dumper目录，运用gitdumper东西。这会dump Git库中的一切文件。咱们只需求指定一个下载目录即可，如下图：

现在咱们现已成功dump了Git库中的一切文件。接着该运用Extractor东西了。进入到Extractor目录中，运用Extractor东西，需求指定两个目录，一个是方才dump文件的目录，一个是提取文件的目录，如下图： ./extractor.sh ../Dumper/dest-dir ./dest-dir

Extractor会依据Git中的commits来创立目录，如下图所示。Git中有3个commits，所以创立了3个目录。首要，咱们进入其间一个目录“3db5628b550f5c9c9f6f663cd158374035a6eaa0”，发现里边有三个文件：admin.php,commitmeta.txt和index.php。咱们用cat指令来检查一下admin.php这个文件，发现了之前拜访80端口时表单中的用户名和暗码，咱们把这个凭据符号出来了，如下图：

回到之前的表单页面，然后输入凭据，成功登陆。登进来之后，咱们发现了更多的表单，一个是“add new post”，还有一个是“add site to blogroll”，都是在建设中，如图：

咱们在表单中随意填入一些信息，然后在上传文件的方位挑选一个PHP反向shell。填完之后，咱们点击add按钮来增加，如图：

尽管文件现已上传了，但咱们要获取到会话，仍是要在靶机上拜访一下这个文件。回到nmap扫描成果，咱们找到一个“upload”目录。猜测一下，方才上传的文件应该是传到了upload目录下，所以咱们在浏览器中拜访一下upload目录下的该文件，如下图：

另一方面，咱们需求翻开一个终端，创立一个nc监听器，监听的端口是PHP反向shell脚本里设置的端口。很快，咱们就取得了靶机的shell。不过，取得的如同是一个Python shell，要取得靶机的体系shell，咱们需求运用Python的一个句子，如下图。进入靶机的体系shell之后，咱们就能够ls检查一下当时目录内容了，发现了eric目录，进入到该目录，找到了第一个flag。一起，在这个eric目录下，咱们还发现了一个backup.sh文件，这个文件是以root身份运转的，而且具有一切的权限，如下图所示：[1][2]黑客接单网