資訊收集

通過nmap搜尋到IP為：192.168.200.11

開啟了80http、111RPC服務埠

先開啟網頁，然後進行目錄爆破

contact.php

攻擊

經搜尋沒有發現可以攻擊wheello和nginx的漏洞，只能burpsuite抓包看看

在thankyou.php的介面，可以看到最下方的版權標誌的年份隨著每次重新整理都會有不同的變化

這個點我是注意到了，但我是真的不知道為什麼這就能說明有檔案包含漏洞，在網上發現別人在目錄爆破的時候爆出了footer.php，所以說明包含了footer.php檔案

不管怎麼樣，存在檔案包含漏洞就說明了可以通過漏洞將其他檔案包含進來，所以，首先要找到檔案包含對應的引數才行，根據其他人fuzz的結果，可以確定引數為file

當引數不為file時，響應包的長度為852

當引數為file時，長度為835

可以通過檢視passwd檔案來驗證是否存在檔案包含漏洞

我們的目的是為了拿到靶機的shell，但是這個web沒有上傳點，如果無法包含到webshell，那麼檔案包含漏洞就無法被利用，但是，如果伺服器開啟了訪問日誌的話，就可以使用日誌檔案包含

日誌檔案路徑：

/var/log/nginx/error.log

 /var/log/nginx/access.log

嘗試檔案包含access.log

當傳入file=，觀察是否有記錄

理論上dc的靶機都是安裝了python環境和netcat的，所以可以使用python反彈shell又或者是使用nc反彈到kali，但是為了模擬真實的滲透環境，在沒有辦法確定是否存在靶機含有python和netcat的情況下只能使用一句話木馬，然後用蟻劍連線

開啟shell，發現許可權很低，打不開root，所以嘗試提權