1、发现目标主机,信息收集
开放端口80,111,59888
2、访问80端口
尝试提交留言
刷新一次年份变化一次
http://192.168.168.203/thankyou.php?firstname=1&lastname=1&country=australia&subject=1
3、御剑扫描敏感目录
4、逐步去试,发现footer.php正是变化的关键所在,猜想是thankkyou.php调用footer.php,可能存在文件包含漏洞
5、验证文件包含漏洞
存在文件包含漏洞
6、服务为nginx,在网站上的每一步操作都会被写入log文件,可以通过log拿shell,写入phpinfo()试探一下
包含成功
7、nginx日志默认路径为/var/log/nginx/access.log
可以看到,phpinfo()已经成功写入
8、写入一句话木马
9、写入nc反弹shell,开启监听
10、find / -perm 777 -exec ls -l {} ; 发现特殊文件
11、exploit 寻找相应漏洞
12、下载提权脚本
查看一下代码
将代码分别拿出来单独编译
本地编译
本地编译
vi打开dc5.sh,输入:set ff-unix,使windows的代码可以在unix上运行
kali攻击机将脚本放于网站根目录下,并开启apache服务
反弹shell界面,切换到/tmp下wget下载脚本
13、提权
赋予脚本最高权限
chmod 777 dc5.sh 运行脚本赋予最高权限
运行脚本,获取root权限