通过用户代理将LFI转到RCE

Question

我正在运行FreeBSD的CuppaCMS机器上做五倍的测试。已经设法登录到CMS的管理特权，但它只带我到一个管理菜单，一些选项，以改变一些表和类似的东西，没有RCE可见升级。因此，我发现了一个导致LFI的利用-db.com的漏洞，经过一些研究，我能够通过用户代理进行RCE并获得请求发送。因此，在读取httpd. like文件时，我能够读取目录和"cat“部分文件，但我无法在服务器上运行任何反向shell，似乎我甚至不能在我的机器上运行'nc‘。我设法通过执行反向shell的用户代理发送了一个php代码，但是当我这样做时，服务器就崩溃了。对我如何继续探索这台机器有什么想法吗？谢谢

更新-1:对不起，我刚发的时候有点累了。所以，我会把我现在得到的东西放在这里。

• 乌阿米
• 我可以读取apache日志& conf文件、passwd、组。
• 这台机器上有两个/bin/bash用户。(根和根)
• 启用SSH。我试着用rockyou.txt作为pass_file来强迫它，但是没有成功.
• 使用的反向壳(五角猴子)：bash、php、python(它们都不起作用)
• 我在主目录中搜索id_rsa文件，没有找到任何文件。
• 当我列出/home目录时，它什么也不会显示，但是当我列出/home/gerencia时，它就能工作了。
• 发现了一些不同的地方，一些/home目录位于/usr/local中，而不是/dir(/gerencia和/gerente)中。
• 我不能在文件中“回显”，不管我是否在rwx dir中。(但我可以“触摸”新文件)
• Wget似乎不管用。
• 发现ossec在机器上运行。
• 试图将反向shell回音到sh脚本中，结果也不起作用。

我今年第一次开始学习戊特，还在学习，对不起。哈哈哈

Answer 1

您可能需要更新这个问题，并向我们展示您正在尝试的反向shell。此外，如果您能够读取文件，您是否尝试过读取/etc/passwd？SSH端口打开了吗？/home/某人/..ssh/id_rsa怎么样？如果您运气好，那么您可以使用这个用户私钥进入服务器吗？您可以读取webroot配置文件，其中用户通常具有数据库连接凭据。尝试用它登录到SSH、FTP、CMS等。你可以做很多事情