前期准备：

靶机地址：https://www.vulnhub.com/entry/momentum-2,702/

kali攻击机ip：192.168.11.129
靶机ip：192.168.11.140

一、信息收集

1.使用nmap对目标靶机进行扫描

发现开放了22和80端口。

2. 80 端口

没什么发现，扫一下目录：

挨个查看一下：

在 /dashboard.html 中发现了上传文件的地方：

在 js 中发现了对应的 js代码：

尝试上传一下 shell：

试过很多种绕过方法，发现就上床了 txt 文件，在 /owls 目录：

从 /js/main.js 中判断上传的文件会发送到 /ajax.php 中，查看下能不能访问这个文件：

/ajax.php 文件没有，不过有 /ajax.php.bak 备份文件，下载下来查看一下：

二、漏洞利用

发现了 admin 的 cookie，提示要在cookie末尾加一个大写字母，并且发送一个新的 POST 参数 secure ，其值为 val1d 。爆破一下 cookie 的最后一个大写字母，并且添加上新的 POST 请求：

用 crunch 命令生成26个大写字母：

爆破一下：

发现 R 的时候返回 1，代表上传成功了：

上传成功，访问一下并 nc 监听：

连接成功，升级一下shell。查看一下系统内的文件：

在 /home/athena 目录下发现 flag，和 athena 的密码（myvulnerableapp*）。ssh 登录一下：

登陆成功。

三、提权

查看下权限和文件：

查看一下 /home/team-tasks/cookie-gen.py

发现python 脚本要求输入。但是输入也在回显。为了回显输出，脚本会执行 bash 命令。所以，可以再输入里写入 shell，让 bash 执行：

nc 连接成功，查看 flag：

完成。