參考鏈接: https://www.bilibili.com/video/BV1aX4y1r7JT

使用arp-scan -l掃描局域網(wǎng)內(nèi)存活主機

發(fā)現(xiàn)主機192.168.2.7

使用nmap掃描主機開放的端口

發(fā)現(xiàn)主機開放了80端口的http服務(wù)

使用的是ApacheHTTP

使用nmap漏洞腳本掃描主機

掃描結(jié)果顯示http服務(wù)有銘感路徑泄露

嘗試訪問

主頁面顯示的是apache2默認(rèn)服務(wù)頁面

似乎沒有其他信息了 只能通過爆破網(wǎng)站目錄

也沒有爆破出其他信息

嘗試一下剛才在robots.txt里的提示

訪問目錄

發(fā)現(xiàn)了一個新的頁面

左上角點擊New可以上傳一份報告

嘗試抓包文件上傳

返回包里沒有提示文件路徑

看到url里有index.php?plot=

猜測存在注入點？

暴力注入不可取

可以嘗試其他方法

猜測一下 這里有命令注入 沒想到成功了

（searchsploit也可以找到漏洞利用腳本和提示:

這里提示index.php?plot=; 加上分隔符即可RCE

還有一個python利用腳本

）

可惡 竟然不讓我反彈shell

試試讓靶機下載執(zhí)行

開啟http服務(wù) 利用RCE wget文件

這里發(fā)現(xiàn)無法上傳php文件 tmp目錄也不給看

難道有過濾？

試試上傳一個txt

txt是可以上傳的 可能真的有過濾 不過wget可以修改接收后的文件名

成功 回到url中訪問后門

發(fā)現(xiàn)已經(jīng)接收到shell了

發(fā)現(xiàn)home目錄下有一個love的文件

沒有辦法使用su 不能嘗試橫向提權(quán)了

suid也沒見到

發(fā)現(xiàn)計劃任務(wù)里面有一個以root權(quán)限運行的shell腳本

每五分鐘執(zhí)行一次

這個finally.sh執(zhí)行的是write.sh

www-data擁有修改write.sh的權(quán)限 那就可以編輯一下這個shell腳本 里面加一句反彈shell

當(dāng)root執(zhí)行finally.sh的時候會順便把權(quán)限轉(zhuǎn)發(fā)過去

由于在這個shell里使用vi很不方便 所以本地修改好以后讓靶機下載

注意開頭改成#!/bin/bash

給權(quán)限

Kali開啟本地監(jiān)聽等待接收shell

經(jīng)過了5分鐘后 kali的nc接收到了連接

用戶是root

這些md5應(yīng)該是flag