用户
搜索
  • TA的每日心情
    奋斗
    2021-2-25 10:34
  • 签到天数: 123 天

    连续签到: 2 天

    [LV.7]常住居民III

    i春秋-核心白帽

    Rank: 4

    57

    主题

    76

    帖子

    2696

    魔法币
    收听
    0
    粉丝
    9
    注册时间
    2020-7-23
    发表于 2021-1-16 17:00:56 69190
    0x00:靶机介绍
    这次的靶机是Europa。难度为中等, WEB部分比较难。提权比较简单
    0.png

    0x01:信息收集
    这次起手nmap,开了22,80和443端口,同时给了一个新的域名。行吧要在etc/hosts加入才能正常访问
    nmap命令:nmap -A -sS -sV -v -p- 10.10.10.22

    1.png

    加入其中的两个域名到/etc/hosts里面

    2.png

    正常的访问这两个域名都是Apache域名
    3.png

    然而对admin-portal.europacorp.htb变为https请求以后返回一个登录界面,开始进攻
    4.png

    0x02:破解登录框
    看到登录框和左上角的一串名字的时候我的第一想法是这是不是个CMS。然而我用searchsploit +各种关键词都找不到可以确认这是个自己写的框架。思路主要有2个。第一种是输入数据用Burp抓包,或者是尝试一下Intruder的爆破功能,这里我先用Burp抓包然后放到sqlmap跑跑
    5.png

    与其同时我自己手工放到repeater随便试试的时候发现我输入账号[email]123@qq.com[/email]'-- 密码xxx 返回包居然会跳出/dashboard.php的界面出来。我思考着不对吧。。。。。怎么可能直接把我送到后台去了跟进一下

    6.png

    跟进以后才发现好像不需要密码直接进后台就行了。。。。。

    7.png

    0x03:挖掘漏洞
    这里跟进一下各种功能点比如左边的Tools功能,进去以后发现有个输入IP功能这里我把我的IP输入进去
    8.png

    然后就会显示出来了。这里我思考着既然输入什么进去就返回值出来。可能存在注入或者是命令执行漏洞果断抓包放sqlmap里面跑

    9.png

    顺便抓包发现变量是ipaddress,由于后台都是.php结尾应该是PHP写的页面那么尝试输入一下system('id')结果好像执行不了

    10.png

    这里等sqlmap跑了好久结果跑不出来,猜测有防护可能是preg_replace这种。假如是preg_replace在PHP7版本以下有个漏洞是/e修饰符会使后面输入的东西当成代码执行,这里把前面的%2F变成/xxx/e然后再执行一次system('id')成功返回www-data
    11.png

    输入pwd 返回/var/www/admin接下来就是构造我们的一句话了

    12.png

    0x04:插入一句话

    一开始我是想直接用bash一句话的结果返回失败
    13.png

    然后去网上找了很多一句话结果都500给我裂开。。。
    14.png

    后来我直接把一句话插入到params,才得到一个反弹shell。同时目前www-data权限可以访问/home目录下的各个文件成功得到User的flag
    15.png

    0x05:提权

    提权的方法我是用内核提权先用uname -a 得知版本为4.4.0-81

    16.png

    去必应搜索找到一个44298.c的payload

    17.png

    先用gcc在本地编译好,然后利用Python共享模式传到靶机上

    18.png

    直接777权限运行啪的一下直接变root

    19.png

    公众号:神隐(咸鱼)攻防实验室希望各位大佬能关注一波
    感谢楼主分享~
    使用道具 举报 回复
    好文章
    使用道具 举报 回复
    发表于 2021-1-18 10:50:38
    皮卡丘师父牛13
    使用道具 举报 回复
    发表于 2021-1-18 11:03:24
    本帖最后由 可爱的小雨淅淅 于 2021-1-18 12:43 编辑

    好家伙 居然是越权拿到的后台
    使用道具 举报 回复
    发表于 2021-1-18 12:37:14
    tqltqltql
    使用道具 举报 回复
    可爱的小雨淅淅 发表于 2021-1-18 03:03
    好家伙 居然是越权拿到的后台

    不算是。更像是逻辑缺陷。假如是目录扫描应该是直接访问就行了。
    公众号:神隐(咸鱼)攻防实验室希望各位大佬能关注一波
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册