## 滲透環境的搭建 phpcollab的下載:[phpCollab-v2.5.1.zip](https://files.cnblogs.com/files/Lmg66/phpCollab-v2.5.1.zip) 解壓到www目錄,給www目錄許可權，因為這個漏洞需要寫的許可權 `chmod 777 wwww` 基本環境  配置 `mysql -u root -p ---進入資料庫` `create database msf ---建立資料庫名稱為msf自己可以改` 進入頁面下拉，點上對勾，點setting，進入設定頁面  如果發出報錯提醒，setting.php沒有寫的許可權，嘗試到includings資料夾中建立settings.php然後讓他的許可權為777，在重新配置。 ## CVE-2017-6090基本原理 檔案上傳，漏洞點： /phpcollab/clients/editclient.php檔案的第63~70行 ``` $extension = strtolower( substr( strrchr($_FILES['upload']['name'], ".") ,1) ); if(@move_uploaded_file($_FILES['upload']['tmp_name'], "../logos_clients/".$id.".$extension")) { chmod("../logos_clients/".$id.".$extension",0666); $tmpquery = "UPDATE ".$tableCollab["organizations"]." SET extension_logo='$extension' WHERE id='$id'"; connectSql("$tmpquery"); } ``` $extension = strtolower( substr( strrchr($_FILES['upload']['name'], ".") ,1) );這裡獲得了小寫的檔案字尾名沒有經過過濾 move_uploaded_file($_FILES['upload']['tmp_name'], "../logos_clients/".$id.".$extension")中直接id+字尾使用 所有我們可以上傳php檔案，也不會被更改字尾名，直接上傳一句話木馬，蟻劍連線，原理很簡單   ## msf的基本命令  msfconsole的連線shell後的命令  ## msf的基本使用(CVE-2017-6090) 初始化並啟動msf的資料庫 ``` msfdb init msfdb start ``` msfconsole的資料庫的命令 ``` msfdb init 啟動並初始化資料庫 msfdb reinit 刪除並重新初始化資料庫 msfdb delete 刪除資料庫並停止使用 msfdb start 啟動資料庫 msfdb stop 停止資料庫 msfdb status 檢查服務狀態 msfdb run 啟動資料庫並執行msf ``` 建立一次掃描(CVE-2017-6090)  ## 參考文章及說明 《精通metasploite滲透測試(第3版)》 最後歡迎訪問我的個人部落格：[https://lmg66.github.io/](https://lmg66.github.io/) 說明：本文僅限技術研究與討論，嚴禁用於非法用途，否則產生的一切後果自