前言：本文中涉及到的技术，只提供思路，严禁用于违法测试

当然哦，还是那句话，还是用靶机吧，希望大家都保护好自己，哈哈哈

以后我会更新各种靶机的渗透，希望大家持续关注，跟着我一起学习吧！！！

很适合初级的学习者，其中不乏趣味性，也有点难度，但总体思路是清晰的，有兴趣的师傅不妨试试。

一、拿枪杆子

公众号后台回复：靶机六，获取靶机地址。要是打不开去公众号主页加我，我给师傅发。

1、获取ip地址

2、获取目标机器开放的端口号

查看一下端口具体的信息

发现web服务的中间件是nginx服务器。

3、web漏洞探测

到处翻一番看看有没有什么可利用的地方，找到一个留言板。

看到这个界面，我们想想怎么利用。首先想到的是sql注入，但是这个一个留言板，想想应该是不太好注入。

再试试别的，xss漏洞，再想想，xss漏洞好像是只是向前端界面输入恶意的js代码，只能访问了才会弹窗，无法利用。所以不太可能。

然后我们在留言板上输入一些东西，提交看看。

看到get方式提交了好几个参数，我们去试试修改参数。

成功发现这几个不同的地方，每次提交都不一样。这个时候我们就会想会不会是文件包含，thankyou.php包含着footer.php这个文件，因为那个也是每次刷新都是不一样的，所以我们就可以猜测它使用了文件包含的技术。

使用工具：dirbuster工具

下一步，我们先扫扫目录吧。成功扫出来这几个目录，但是前面几个是主页中的几个静态页面，好像是footer.php好像不太一样。

发现了这个，而且每次刷新都不一样，这个跟我们主页看到右下角的那个有点像，我们去看看。

我们去fuzz一下他的传递参数，直接写上 /etc/passwd，看看有没有参数可以包含这个文件。

开始fuzz他的传递参数，看看存不存在这样的一个漏洞。

可以看到file参数，成功传递了。

所以成功的发现该web界面存在文件包含的漏洞。

我们现在就要像如何去利用这个漏洞。

回想⼀句话！只要能够把⼀句话⽊⻢写到服务器上就⾏，哪怕不是上传，那能不能在服务器上已有的⽂件中，添加 ⼀段⽂字：⼀句话⽊⻢函数呢

想到刚才我们扫描到的，该网站是nginx服务搭建的，所以说，我们可以尝试把一句话木马上传到他的访问日志中去，然后我们再去访问它，他会自动执行他的php代码，造成一句话木马上传。

我们去查查nginx服务器日志存放的地址。

现在去访问它的日志地址：

/var/log/nginx/error.log

我们于是通过file参数传入phpinfo()试试。

发现phpinfo成功被执行，我们现在就尝试上传一句话木马。

4、漏洞利用

放包，传递成功。我们使用中国蚁剑连接上webshell。

连接地址是：

http://192.168.44.134/thankyou.php?file=/var/log/nginx/access.log

密码就是：a。

成功通过上传一句话木马getshell，发现用户权限太低，尝试提权。

5、提权

先使用sudo -l命令提权，看看有没有可利用的。

发现没有，第二种办法，suid提权，看看有没有suid位的可利用的。

发现了一个没见过的很奇怪的东西，我们去找找有没有关于这个软件的漏洞。

这里我们就上神器，MSF中的漏洞库看看。

searchsploit screen 4.5.0

searchsploit -m linux/local/41154.sh

因为我们不知道这个文件的路径在哪里，所以我们复制这个文件下来。

用蚁剑上传这个文件。

在给这个脚本文件赋权。

chmod a+x 41154.sh

直接执行这个脚本就可以了。

./41154.sh

如果出现提权失败的也很正常，去找一个低版本的linux系统，编译之后，再去上传就可以了。

感谢各位大佬们关注LHACK安全，正在努力的进步中，后续会坚持更新渗透漏洞思路分享、好用工具分享以及挖掘SRC思路等文章，希望能得到各位师傅们的关注与支持。想加入交流群的师傅们，欢迎加我，我拉师傅进群。

往期回顾

来拿枪杆子——>渗透实战（五） 

渗透实战（四）

渗透实战（三） 

渗透实战（二）

记录一次渗透实战（一）

原文始发于微信公众号（LHACK安全）：直接上战场——>渗透实战（六）