技术总结
- php 反弹shell : php-reverse-shell
- 如何将简单的Shell转换成为完全交互式的TTY
目标发现
Nmap扫描一下局域网,目标主机是 192.168.0.6
目标开放了80端口
漏洞发现与利用
浏览器访问目标地址,发现文件上传
直接上传一句话木马123.png,然后用language.php进行文件包含,成功获取shell
然后使用蚁剑连接shell,可以看到 bassam 用户的密码
尝试 su 切换用户,会提示 su: must be run from a terminal
这时候就要靠 TTY 了,参考这里的方式 如何将简单的Shell转换成为完全交互式的TTY
这里选择使用
python3 -c 'import pty; pty.spawn("/bin/bash")'
会一直报错
可以换一种方式,使用反弹shell,由于这里是php的环境,可以直接用php反弹shell,推荐这个工具php-reverse-shell
修改一下 IP 和 port 信息,kali 上 nc -lvvp port然后上传再包含
可以看到反弹的shell
然后再转换为TTY就可以使用su命令了
执行 su 命令
在 home 目录下可以找到 flag
