参考链接: /video/BV1aX4y1r7JT

使用arp-scan -l扫描局域网内存活主机

发现主机

(相关资料图)

使用nmap扫描主机开放的端口

发现主机开放了80端口的http服务

使用的是ApacheHTTP

使用nmap漏洞脚本扫描主机

扫描结果显示http服务有铭感路径泄露

尝试访问

主页面显示的是apache2默认服务页面

似乎没有其他信息了 只能通过爆破网站目录

也没有爆破出其他信息

尝试一下刚才在里的提示

访问目录

发现了一个新的页面

左上角点击New可以上传一份报告

尝试抓包文件上传

返回包里没有提示文件路径

看到url里有

猜测存在注入点？

暴力注入不可取

可以尝试其他方法

猜测一下 这里有命令注入 没想到成功了

（searchsploit也可以找到漏洞利用脚本和提示:

这里提示; 加上分隔符即可RCE

还有一个python利用脚本

）

可恶 竟然不让我反弹shell

试试让靶机下载执行

开启http服务 利用RCE wget文件

这里发现无法上传php文件 tmp目录也不给看

难道有过滤？

试试上传一个txt

txt是可以上传的 可能真的有过滤 不过wget可以修改接收后的文件名

成功 回到url中访问后门

发现已经接收到shell了

发现home目录下有一个love的文件

没有办法使用su 不能尝试横向提权了

suid也没见到

发现计划任务里面有一个以root权限运行的shell脚本

每五分钟执行一次

这个执行的是

www-data拥有修改的权限 那就可以编辑一下这个shell脚本 里面加一句反弹shell

当root执行的时候会顺便把权限转发过去

由于在这个shell里使用vi很不方便 所以本地修改好以后让靶机下载

注意开头改成#!/bin/bash

给权限

Kali开启本地监听等待接收shell

经过了5分钟后 kali的nc接收到了连接

用户是root

这些md5应该是flag