vulnhub 是我喜欢的游乐场之一，上面的每个靶机都是很帅的一个游戏。完好找出一切 flag 仅仅基本任务，完结提权才是终极方针。我并不寻求最快夺旗，而是尽或许运用完好进犯链侵略靶机，所以，这篇攻略中，或许某些内容对夺旗无直接协助，但在应对实在方针时，你应该考虑。
靶机 “JIS-CTF: VulnUpload” 含有 5 个 flag、初级难度，均匀耗时 1.5 小时可完结进犯。你能够从 https://www.vulnhub.com/entry/jis-ctf-vulnupload,228/ 获取 virtualbox 格局的镜像，导入后当即可玩：

JIS 虚拟机为 DHCP，我得主意找出它的 IP。nmap 的 -sn 选项用于勘探主机存活性：

很快，找到 4 个存活 IP。其间，56.1 为我主体系 IP，56.2 为 DHCP 服务器，56.5 显现 localhost-response 为本机（kali），所以，JIS 的 IP 为 192.168.56.6。
一、体系服务发现
拿到 IP 榜首要务当然是剖析服务。nmap 的 -O、-sV 两个指令行参数可用于此：

可知，JIS 在 22 端口敞开了 SSH（OpenSSH 7.2p2）、80 端口敞开 HTTP（Apache httpd 2.4.18）等两个服务。别的，操作体系为 ubuntu。这三个信息将成为下个阶段的首要进犯面。
二、体系缝隙剖析
针对 SSH 服务，我习气从弱口令和体系缝隙两方面进行进犯。弱口令方面，我用常见用户名和常见暗码进行暴破，尽管几率不大：

短时间跑不完，先放这儿，后续再看。
SSH 服务的体系缝隙查找方面，我引荐 searchsploit 东西。精确搜索 OpenSSH 7.2p2：

存在用户名可枚举缝隙，刚好，要能找到有用用户名，将有助于暴破 SSH 口令。当即用 EXP 试试：

试过几回，成果都不相同，感觉这个 EXP 不可靠。或许是搜索条件太苛刻，不带版别号，直接搜索 openssh 看看有无其他缝隙：

其间，有两个可考虑，依次为本地提权的缝隙、长途指令履行缝隙。哇，很诱人，不过很惋惜，都用不了。对前者而言，当时没用任何据点（如 webshell），还谈不上提权操作，当时只能先放放，后续或许用的上；对后者来说，使用条件十分苛刻，进犯者有必要拿到 forwarded agent-socket 的操控权，并且方针有必要 SSH 登录进犯者所操控 forwarded agent-socket 的那台机器，才或许让方针加载指定 *.so，完结长途指令履行。算了，SSH 体系缝隙暂时就不深入了。
apache 服务看下有无可使用的缝隙：

从前服务勘探时找到的精确版别为 apache httpd 2.4.18，那么只要一个缝隙内存走漏的缝隙，没多大价值。
这个阶段体系缝隙只能剖析到这个程度，尽管知道发行套件为 ubuntu，但不知道详细版别、体系架构，很难精确的找到可用的操作体系缝隙，所以，没必要持续在体系缝隙层面耗时，后续如果能拿到 webshell，提权时再来深入剖析，现在移步 web 使用层面。
三、web 内容发现
拜访之前找到的 web 端口主动重定向到 http://192.168.56.6/login.php：

看了下 html 源码，没啥有价值的信息；枚举用户名也不能；或许能够暴破下弱口令，方才的 SSH 暴破还没完呢，web 登录暴破仍是先放一放，看看有无其他页面。
大约 2019 年之前，扫 web 端口 – 找 web 后台 – 弱口令登后台 – 上传一句话，是常见的高成功率的进犯 *** ，其间，能否找到后台地址，是成功的要害。换言之，我需求发现更多 web 内容。详细而言，我期望找到更多文件、页面、子目录，更好能找到源码打包的灵敏文件、后台运维的办理页面、寄存事务逻辑的子目录，以拓宽进犯面。一般，我习气结合枚举和爬虫两种 *** 来发现 web 内容。
枚举 web 内容的东西许多，其实，你手上的 burp 内置了强壮的子目录枚举功用，但常被你疏忽。拜访 http://192.168.56.6/，让流量过 burp 后，当即展示出初始站点目录结构：

[1] [2] [3]  黑客接单网