• php 反弹shell : php-reverse-shell
• 如何将简单的Shell转换成为完全交互式的TTY

目标发现

Nmap扫描一下局域网，目标主机是 192.168.0.6

目标开放了80端口

漏洞发现与利用

浏览器访问目标地址，发现文件上传

直接上传一句话木马123.png，然后用language.php进行文件包含，成功获取shell

然后使用蚁剑连接shell，可以看到 bassam 用户的密码

尝试 su 切换用户，会提示 su: must be run from a terminal

这时候就要靠 TTY 了，参考这里的方式 如何将简单的Shell转换成为完全交互式的TTY

这里选择使用

python3 -c 'import pty; pty.spawn("/bin/bash")'

会一直报错

可以换一种方式，使用反弹shell，由于这里是php的环境，可以直接用php反弹shell，推荐这个工具php-reverse-shell

修改一下 IP 和 port 信息，kali 上 nc -lvvp port然后上传再包含

可以看到反弹的shell

然后再转换为TTY就可以使用su命令了

执行 su 命令

在 home 目录下可以找到 flag