- 浏览器输入地址打开网页
发现存在一个登录界面和一个上传界面,上传界面需要登入之后才能上传文件;
-
尝试SQL表单注入和暴力破解用户名和密码,均不能成功;
-
端口扫描
发现开放了3306端口,测试发现是可以进行连接登录的,但是不能成功枚举出用户名和密码;
-
仔细查看页面发现浏览器链接存在“=”,怀疑存在LFI文件包含漏洞;
-
经过一番测试,存在LFI文件包含漏洞;
在浏览器链接里加上payload,执行后发现base64加密内容;
http://10.36.201.47/?page=php://filter/convert.base64-encode/resource=login
解码后发现是一串PHP代码文件,发现数据库配置文件在config.php中;
修改payload,得到config.php文件;
http://10.36.201.47/?page=php://filter/convert.base64-encode/resource=config;
使用base64解密之后得到数据库用户名和密码;
-
端口扫描的时候发现3306端口是开着的,尝试连接数据库;
我使用的是Mysql workbench工具进行连接的,查询表发现存在三个用户和密码;接下来尝试登录web页面;
-
登录成功之后上传php文件;
上传文件时发现存在限制,只能上传images文件,修改文件后缀继续上传;
修改文件后缀名还是会发生上传错误,继续修改代码;
在PHP文件头中加入GIF发现即可上传成功;
-
在反弹shell的时候发现反弹不成功,通过构造
http://10.36.201.47/?page=php://filter/convert.base64-encode/resource=index
payload得到了index.php的源码,查看源码发现include包含COOKIE”lang”的值,重新构造一个cookie值,调用php马上传的路径,反弹shell.
-
反弹shell成功,登录系统,在之前得到三个用户名和密码,尝试之后可以切换kane用户;
-
权限提升;
发现一个可执行文件msgmike;
运行之后发现执行了cat命令;
建立一个cat文件,写入bash命令;同时修改PATH环境配量;
再次执行 ./magmike文件,发现用户已经切换成了mike;
查看文件发现存在一个msg2root执行文件;
执行过后使用1;bash -p
提权成功;