从某个大哥手里拿到一个菠菜得day,是一个任意文件上传得0day,通过任意文件上传获取到webshell,但是扫描端口能看到开启了宝塔。
然后就出现了下面的问题。
使用哥斯拉的bypass插件可以执行命令。
用户为WWW,宝塔的默认用户,接下来就是常规操作,提权、SSH登陆拿宝塔。
先进行提权,上传脏牛然后看能够使用的提权exp。
运行之后使用CVE-2021-4034进行提权,先把EXP文件上传到菠菜服务器。
反弹shell,然后进入exp文件夹编译运行即可获取到root权限。
获取到root权限之后就办事了,创建账户、赋权限即可。反弹的shell因为vim不了,然后就把他passwd文件保存在本地然后第三列给0,这样子登陆在之后就是root。
创建的账户是ftpp,然后保存为passwd文件上传到web目录,使用提权后的root权限先删除passwd然后在copy过去即可。
因为这个服务器有宝塔控制面板,所以先进入/www/server/panel/data,这个文件夹里面有一个default.db文件,这个是宝塔的配置数据文件。保存在本地之后修改他的宝塔密码,登陆即可。然后在结束之后记得把db数据文件还原回去,这样他的密码还是原来的密码。
然后修改密码登陆即可。
通过登陆可以看到站点的完整信息,还有数据库密码,web目录,还有他的手机号,但是手机号只有前三后四,中间四位是*号,之前查手机号的办法也没用了,其实打到这里就可以,交给警察叔叔抓人就可以了。