TA的每日心情 | 奋斗
2021-2-25 10:34 |
|---|
签到天数: 123 天 连续签到: 2 天 [LV.7]常住居民III
i春秋-核心白帽
- 收听
- 0
- 粉丝
- 9
- 注册时间
- 2020-7-23
|
发表于 2021-1-16 17:00:56 69190
0x00:靶机介绍
这次的靶机是Europa。难度为中等, WEB部分比较难。提权比较简单
0x01:信息收集
这次起手nmap,开了22,80和443端口,同时给了一个新的域名。行吧要在etc/hosts加入才能正常访问
nmap命令:nmap -A -sS -sV -v -p- 10.10.10.22
加入其中的两个域名到/etc/hosts里面
正常的访问这两个域名都是Apache域名
然而对admin-portal.europacorp.htb变为https请求以后返回一个登录界面,开始进攻
0x02:破解登录框
看到登录框和左上角的一串名字的时候我的第一想法是这是不是个CMS。然而我用searchsploit +各种关键词都找不到可以确认这是个自己写的框架。思路主要有2个。第一种是输入数据用Burp抓包,或者是尝试一下Intruder的爆破功能,这里我先用Burp抓包然后放到sqlmap跑跑
与其同时我自己手工放到repeater随便试试的时候发现我输入账号[email]123@qq.com[/email]'-- 密码xxx 返回包居然会跳出/dashboard.php的界面出来。我思考着不对吧。。。。。怎么可能直接把我送到后台去了跟进一下
跟进以后才发现好像不需要密码直接进后台就行了。。。。。
0x03:挖掘漏洞
这里跟进一下各种功能点比如左边的Tools功能,进去以后发现有个输入IP功能这里我把我的IP输入进去
然后就会显示出来了。这里我思考着既然输入什么进去就返回值出来。可能存在注入或者是命令执行漏洞果断抓包放sqlmap里面跑
顺便抓包发现变量是ipaddress,由于后台都是.php结尾应该是PHP写的页面那么尝试输入一下system('id')结果好像执行不了
这里等sqlmap跑了好久结果跑不出来,猜测有防护可能是preg_replace这种。假如是preg_replace在PHP7版本以下有个漏洞是/e修饰符会使后面输入的东西当成代码执行,这里把前面的%2F变成/xxx/e然后再执行一次system('id')成功返回www-data
输入pwd 返回/var/www/admin接下来就是构造我们的一句话了
0x04:插入一句话
一开始我是想直接用bash一句话的结果返回失败
然后去网上找了很多一句话结果都500给我裂开。。。
后来我直接把一句话插入到params,才得到一个反弹shell。同时目前www-data权限可以访问/home目录下的各个文件成功得到User的flag
0x05:提权
提权的方法我是用内核提权先用uname -a 得知版本为4.4.0-81
去必应搜索找到一个44298.c的payload
先用gcc在本地编译好,然后利用Python共享模式传到靶机上
直接777权限运行啪的一下直接变root
|
|
提升卡
变色卡
千斤顶
照妖镜
