.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
0x00間違った終わりに応じて
私は誤ってゴミのほうれん草のウェブサイト豚を殺すディスク
のセットに遭遇しました
スキャンされたディレクトリとファイルに1つずつアクセスしても、それほど役に立ちませんが、背景アドレスが見つかります。 phpmyAdminアクセス500。
XD.PHPにアクセスしてアクセスして、検証コード
も許可する必要があることがわかります
私は8888、123456を試しましたが、他のすべてがエラーを促し、その場でそれらを閉じました。
ドメイン爆発の試みは1つだけです。 NMAPスキャンでは何も見つかりませんでした。ホームページに戻って、URLは少し珍しいことがわかりました。
0x01同様のWebサイトとソースコードを探しています
このような詐欺は、ソースコードをめったに開発しません。ソースコードがインターネットからダウンロードされ、それを構築する人を見つけたことは確かです。機能が機能なので、検索しました。
0x02 auditを開始
非常に多くのWebサイトのソースコードは混乱している必要があるため、ソースコードを見つけて監査しようとしています。
ソースコードをダウンロードして、Seayでスキャンします。ソースコードが大きすぎて、私はそれをローカルに構築するのが面倒です。ソースコードを直接使用してターゲットを批判します。
そこからfileupload.phpファイルを見つけましたが、少し問題があるようです。
アクセスターゲットは、ファイルも存在することを発見します。ファイルを抽出し、ローカルに構築された環境でテストします。
ダイレクトアクセスは、2つのフォルダーのアップロードとupload_tmpを自動的に作成します。これはデモポイントです。この点は、実際にはバックドアのように見えます。
また、ファイル名変数は完全に制御可能です。
読み続けて、いくつかの判断を見つけてください。フォームの名前をアップロードするには、ファイルできます。ファイルをアップロードする場合は、他のファイルについて心配する必要はありません。アップロードフォームを変更するだけです。パラメーター名とファイルを追加するだけです。
名前パラメーター制御ファイル名aaa.php 
を制御します
1.jpgアップロード
を選択します
アップロード後にリターンパスはありませんが、AAA.PHPファイルはすでにアップロード中に存在しています。 SQL注入
変数内の場所の値は、リクエストから生じるものであり、上記のチェックインプットで検出されたタイプの値はありません。
Betlistcntをフォローしてください
処理せずにクエリに直接持ち込まれ、多くの同様のポイントがあります。
0x03監査脆弱性の検証
以前のアップロードを通してウェブシェルを取得し、権利を増やしてください。
それはdebianであることがわかりました。ポート6379があるが、ルートユーザー
によって開始されていないことがわかりました
カーネルバージョンを見た後、私はそれが大丈夫であるべきだと感じているので、私は許可を持つEXPを見つけようとします。
MSF Horse 
を生成します
便利なため、MSFを使用してこのマシンを起動しました。次に、対応するエスカレーションExpを探します。
0x04権利を調達してみてください
これらの2つのCVE-2019-13272とCVE-2017-16995がGitHubで利用ツールを探していたとき、MSFには実際に右に右に付属していることを思い出しました。そこで、
を検索しようとしました
を検索する場合は使用してください
結果は、その場で
で失敗しました
2番目のCVE-2017-16995 
をお試しください
ルート許可を使用したセッションを正常に返しました。特権のエスカレーションは完了し、元のリンクで再現されました:https://MP.Weixin.QQQQQQQQQQQQQ5IMLFHHNQNQNBTPFXCA