惯例,nmap跑一下
御剑扫描目录
扫到robots.txt文件暴露目录
后台登陆界面
爆破3306端口,得到用户名root 密码123
远程连接数据库,找到用户表(注意这里有俩个_user表,用下面这个才能登录)
可以解密他的密码,也能自己添加一个用户
登陆后台
在扩展里找到这个选项
是joomla使用的模版
直接在他的php模板文件里添加一句话木马
蚁剑连接,注意路劲取决于你写到哪个文件里
成功getshell
但是发现执行不了命令
搜索发现设置了disable_functions
【精选】php disable_function绕过_php绕过disable_function_6right的博客-CSDN博客
蚁剑里有相关的插件,注意我试了半天都报错,查了一下该插件在Linux下才可以使用
利用蚁剑上传一个哥斯拉木马(套娃。。)哥斯拉里面也有相关的插件,标红位置,看一下机器的IP,发现与网站IP并不相同,应该是两台机器,这个IP反弹shell是弹不过来的
在/tmp/mysql/test.txt的文件里有一个用户名密码
ssh连接成功,查一下内核
使用脏牛提权
上传脏牛文件,gcc编译:
gcc -pthread dirty.c -o dirty -lcrypt
运行编译后的dirty文件,后边跟上密码
成功提权