声明：该篇文章仅供学习网络安全技术参考研究使用，请勿使用相关技术做违法操作。本公众号的技术文章可以转载,能被更多人认可本文的创作内容属实荣幸之至,请在转载时标明转载来源即可.也欢迎对文章中出现的不足和错误进行批评指正！

kali的IP：192.168.227.130                            靶机IP：192.168.227.135

主机发现

使用nmap进行主机发现：

发现192.168.227.135为新增加的IP，即为靶机IP

端口探测

这里22端口运行着ssh服务，80端口和8082端口都运行着http服务，但是使用了不停的中间件搭建。

web服务

这里发现80端口和8082端口都运行着同一个服务。只是使用不同中间件搭建。

界面源代码没有什么信息，使用dirsearch进行目录爆破，

其中301的站点指向的网站不存在可以利用的功能点，基本以静态为主。

在info.php界面就是一个普通的phpinfo界面。

第一种get shell方法

这里尝试访问401状态码的网页，这类文件在服务器中存在，但是需要进行身份验证才能访问，这里访问system目录，这里是一个简单的网页验证，

这里尝试弱口令admin/admin，成功登陆。界面如下：

这里看到使用的是一个名为mantis的系统，在漏洞库里搜索一下，

这里有很多结果，这里使用Password Reset脚本，查看一下脚本。

这里给出了利用方法，根据自己的需求进行修改，主要修改ip地址和路径，写改后访问如下：

在这里就可以直接修改密码，登陆后台，进行信息收集。

在后台中找到用户账号密码，

这里使用ssh进行登陆，

成功反弹shell。

第二种get shell方法、

这里看到有RCE漏洞，下载脚本进行利用。

这个脚本是运行在system界面，但是这个界面要进行身份认证才能进入，通过调试器发现进行身份认证以后会在请求头种生成一个信息，如下图的Authorization,

后面的base64就是我们输入的认证信息。

这里不仅要修改脚本种的信息，还要添加这个头部信息才能正常使用。整体修改方式如下：

修改后执行，成功反弹shell。

第三次get shell

对system目录执行目录扫描，但是这里要指定头部信息

这里有很多收获，在config目录中发现了a.txt。

这里想到

用得到的用户名密码进行登陆，登陆后如下：

看到数据库中存在的表，这里主要关注mantis_user_table表，直接将表中的数据查询出来，

这里可以进行ssh登陆，同第一种方法。

提权

这里只有一个可以执行重启指令的权限，不用密码

这里猜测提权可能与重启有关，这里直接搜索我们可以有写的权限的文件并且属主为root的文件。

这里进行一下筛选，结果如下：

很明显这里可以利用的是最后一个文件，首先查看文件内容。

这里是一个执行脚本，看起来应该是开机自动执行的脚本，编辑脚本，反弹shell

本地监听4444端口，收到shell，提权成功

渗透结束。