【Vulnhub】Acid

nmap 是扫描出 33447 开着 apache 的服务

访问的时候网页标题提示 /Challenge，然后去访问一下，有个登陆框但是没测出来 sqli，扫目录得到下面这些

再去扫描 Magic_Box 目录，得到以下：

在 command.php 可以命令执行，用 echo 写一句话进去，这里 Magic_Box 目录写不上，可以写在 ../ 中

蚁剑连接

找到了 mysql 的 root 账号的密码，然而不能连

find / -user acid 找到几个比较有意思的东西，可以用

find / -user acid 2>/dev/null

2 是标准错误

/dev/null 是一个特殊的设备文件，这个文件接收到任何数据都会丢弃，就可以不输出那些 Permission denied 了

https://blog.csdn.net/gramdog/article/details/80374119

把那个流量包传出来看看

追踪 tcp 流发现一个对话？saman/1337hax0r 这个就是用户名跟密码了

额，蚁剑连上貌似很多都不能用，直接写个 php 的反弹 shell

既然知道用户名跟密码了...直接 sudo 就可以了

字数又双叒不够申请原创

最近做了个 PWN 的栈迁移的题目

布置迁移的 payload：要迁移的地址减去 0x4（64 位 0x8）加 leave; ret 的地址

往迁移的地方写的内容是 system 的地址加返回地址（随意）加 "/bin/sh" 的地址