扫描端口服务 发现靶机的80端口开放了
访问web
点开conatact发现日期是2019
点击上传键出现了感谢的网页并发现日期变成2017
使用dirbuster工具来扫描靶机的隐藏目录
发现目录
访问目录 发现不停的刷新网页年份会发生改变
之前在thinkyou.php中看到了这种情况(没网页刷新一次,年份都会发生变化),因此我们猜测thinkyou.php调用了footer.php,于是想到了文件包含漏洞
使用BP抓包工具 发现file=后面可以接命令(猜测!!!)
测试查看/etc/passwd
放行后发现竟然是猜想是对的
尝试写入phpinfo,由于web站点为nginx,查找得知nginx日志位置为/var/log/nginx/access.log
查找日志位置是由于,不管何种访问,日志都会将具体访问数据记录下来并保存在日志文件中,所以可以考虑写入一句话木马,然后菜刀或者蚁剑连接
将一句话木马通过URL写入到服务器上面,并且通过burp进行抓包;
查看日志
通过BP抓包并写入php执行命令系统
使用命令查看
监听端口(渗透机)
返回监听(靶机)
监听的端口就有回显了
使用python的命令开启交互shell 并查看权限
查看可以root权限使用的命令 发现screen-4.5.0
渗透机使用searchsploit查询 发现41154.sh文件
进入文件的目录里并下载到root目录下
编辑文件重新设置文件格式
使用python监听传文件
文件上传不了
通过ftp来上传
下载ftp
创建用户
进入家目录并添加文件夹把提前文件粘贴进来
查看41154.sh文件并安装步骤来
创建一个文件并把41154.sh的c的脚本复制出来
把我们刚才复制的c的脚本进行编译 获取到一个新的脚本
删除之前的c脚本
再把下面的c语言的脚本复制出来
并进行编译
删除之前的c脚本
修改之前的41154.sh的文件如下
把41154.sh改名为dc5.sh
使用ftp把刚才3个脚本上传到靶机
登录ftp(lisi)开启服务
从ftp里把提前脚本下载到靶机的/tmp文件夹里
查看是否下载到/tmp
给dc5.sh可以执行的权限 并执行
这时候就是root了
开启交互并查看flag
提示:职业规划、创作规划等
Tips