二、使用DAVTest測(cè)試文件權(quán)限

我們要做的下一件事是測(cè)試服務(wù)器上的權(quán)限和文件執(zhí)行策略。請(qǐng)記住，這里我們的最終目標(biāo)是獲得一個(gè)反向shell，因此我們需要知道我們要步入正軌。

DAVTest是一個(gè)方便的工具，可以自動(dòng)為我們測(cè)試這些東西。只需在終端中鍵入davtest即可查看幫助和用法示例：

在最基本的級(jí)別上，我們要做的就是為它提供指向WebDAV實(shí)例的有效URL。自然，請(qǐng)使用-url開關(guān)，后跟正確的URL。

在這里，我們可以看到該工具的神奇之處。首先從測(cè)試連接開始，然后嘗試創(chuàng)建測(cè)試目錄，我們認(rèn)為這是成功的。接下來，DAVTest將發(fā)送各種不同類型的文件，以確定可以上傳的文件。看來所有這些都成功了。

在上面輸出的末尾，我們看到了一些好東西：測(cè)試文件執(zhí)行。我們可以看到它們大多數(shù)都失敗了，但是TXT，HTML以及對(duì)我們來說最重要的PHP文件都將成功執(zhí)行。我們現(xiàn)在需要做的就是找到一種上載Shell的方法。

三、使用Cadaver上載shell

在攻擊的最后階段，我們將使用一個(gè)名為Cadaver的工具，該工具提供了一個(gè)與WebDAV服務(wù)進(jìn)行交互的直觀界面—使用類似于FTP的簡(jiǎn)單易用的命令。

我們可以通過在終端中輸入cadaver -h來查看幫助和使用信息：

在跳轉(zhuǎn)到上載Shell之前，讓我們使用無害的文本文件對(duì)其進(jìn)行測(cè)試。首先，創(chuàng)建一個(gè)簡(jiǎn)單的文本文件：

root@drd:~# echo 'TESTING' > test.txt

接下來，我們可以通過提供適當(dāng)?shù)腢RL通過Cadaver連接到WebDAV：

~# cadaver:/dav/>

要獲取可用命令的列表，請(qǐng)鍵入？或在提示時(shí)提供幫助：

我們可以使用put命令上傳測(cè)試文件：

現(xiàn)在，如果我們?cè)跒g覽器中導(dǎo)航到它，我們應(yīng)該看到顯示給我們的文本：

由于我們現(xiàn)在有信心可以進(jìn)行上傳，因此我們現(xiàn)在可以退出 Cadaver，以便準(zhǔn)備好外殼程序：

dav:/dav/> to `10.10.0.50' closed.

Kali在/ usr / share / webshel??ls /目錄中包含各種shell 。我們需要PHP反向shell，因此請(qǐng)使用以下命令將其復(fù)制到當(dāng)前目錄：

~# cp /usr/share//php/php-reverse-shell.php .

接下來，我們需要編輯一些內(nèi)容，因此使用您喜歡的文本編輯器打開文件，并將IP地址更改為我們本地計(jì)算機(jī)的IP地址，并將端口更改為您選擇的端口：

保存文件，并使用netcat設(shè)置偵聽器以捕獲傳入的連接：

~# nc -lvnp on [any] 7777 ...

在新窗口或選項(xiàng)卡中，再次連接到WebDAV并上載我們的shell，就像我們之前對(duì)測(cè)試文件所做的一樣：

現(xiàn)在瀏覽到該文件，如果成功，我們應(yīng)該看到瀏覽器掛起：

回到我們的偵聽器，我們應(yīng)該看到目標(biāo)打開了一個(gè)連接：

現(xiàn)在，我們可以發(fā)出諸如whoami之類的命令來確認(rèn)我們已危害服務(wù)器：

sh-3.2$ -data