本文共 793 字，大约阅读时间需要 2 分钟。

过程概述

1. nmap扫描靶机端口，共开放了2222ssh服务和80http服务。
2. dirsearch扫描网站目录，发现index.html和cgi-bin目录。
3. 进一步扫描cgi-bin目录下文件，发现user.sh文件。
4. 利用nmap的http-shellshock脚本扫描靶机，并利用burp获取关键的数据包，加入回连shell命令，建立与靶机的连接。
5. 获取user.txt
6. sudo -l，发现可以无密码root权限执行/usr/bin/perl，利用提权，获得root.txt。

关键步骤

建立回连shell

将利用nmap的http-shellshock脚本获取的关键数据包，通过burp重放功能，加入回连shell发送，同时本地开启监听。

关键点

burp与nmap联动技巧

burp设置代理转发，nmap扫描设置的本地地址和端口，可以让nmap扫描浏览先经过burp再到靶机，可以通过此方法观察，nmap扫描脚本发送的数据包具体内容，便于分析脚本执行的操作。

nmap命令实例：

命令注意点

有些情况下，所获得的用户无法执行某些命令不成功，可能命令不在该用户的环境变量中，尝试使用全路径执行。

cgi-bin目录

cgi-bin目录一般可能有执行脚本任务，通过扫描sh/pl等可执行文件后缀来扫描可能的存在的可利用文件。