![图片[1]-“提升渗透技能:从子域名接管到RCE的实战经验分享”-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240315094342811-image.png)
搭建过程
web配置2个网卡,网卡0/0,22/0这2个网卡。
192.168.0.116
192.168.22.152
![图片[2]-“提升渗透技能:从子域名接管到RCE的实战经验分享”-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240315094407540-image.png)
data配置22网卡和10网卡。
192.168.22.146
10.10.10.136
![图片[3]-“提升渗透技能:从子域名接管到RCE的实战经验分享”-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240315094430656-image.png)
![图片[4]-“提升渗透技能:从子域名接管到RCE的实战经验分享”-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240315094445696-image.png)
web打点
先去测试网络连通性。
![图片[5]-“提升渗透技能:从子域名接管到RCE的实战经验分享”-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240315094510126-image.png)
![图片[6]-“提升渗透技能:从子域名接管到RCE的实战经验分享”-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240315094523948-image.png)
目录扫描
然后扫描该网站存在那些url地址。.
![图片[7]-“提升渗透技能:从子域名接管到RCE的实战经验分享”-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240315094545952-image.png)
![图片[8]-“提升渗透技能:从子域名接管到RCE的实战经验分享”-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240315094557214-image.png)
Nday利用
eyoucms-任意用户登录
application/api/controller/Ajax.php
![图片[9]-“提升渗透技能:从子域名接管到RCE的实战经验分享”-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240315094616709-image.png)
![图片[10]-“提升渗透技能:从子域名接管到RCE的实战经验分享”-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240315094628138-image.png)
![图片[11]-“提升渗透技能:从子域名接管到RCE的实战经验分享”-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240315094654483-image.png)
现在可以随意设置session里的name 值是md5的
接着绕过 session(‘?admin_id’) && getTime() – intval($admin_login_expire) <
$web_login_expiretime
$admin_login_expire 是服务器时间戳 md5 接着经过intval处理
![图片[12]-“提升渗透技能:从子域名接管到RCE的实战经验分享”-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240315094715909-image.png)
![图片[13]-“提升渗透技能:从子域名接管到RCE的实战经验分享”-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240315094730492-image.png)
![图片[14]-“提升渗透技能:从子域名接管到RCE的实战经验分享”-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240315094743698-image.png)
然后替换cookie,进行登录。
![图片[15]-“提升渗透技能:从子域名接管到RCE的实战经验分享”-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240315094808779-image.png)
![图片[16]-“提升渗透技能:从子域名接管到RCE的实战经验分享”-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240315094820330-image.png)
![图片[17]-“提升渗透技能:从子域名接管到RCE的实战经验分享”-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240315094835496-image.png)
![图片[18]-“提升渗透技能:从子域名接管到RCE的实战经验分享”-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240315094847923-image.png)
![图片[19]-“提升渗透技能:从子域名接管到RCE的实战经验分享”-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240315094858287-image.png)
![图片[20]-“提升渗透技能:从子域名接管到RCE的实战经验分享”-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240315094912949-image.png)
![图片[21]-“提升渗透技能:从子域名接管到RCE的实战经验分享”-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240315094922506-image.png)
![图片[22]-“提升渗透技能:从子域名接管到RCE的实战经验分享”-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240315094943726-image.png)
© 版权声明
THE END
![表情[qiudale]-山海云端论坛](https://www.shserve.cn/wp-content/themes/Shanhai/img/smilies/qiudale.gif)
我也是买了领不了、
暂无评论内容