vulnhub-Infosec_Warrior1

释放双眼,带上耳机,听听看~!

今天磨到Infosec_Warrior1,考察手法:

1、网站路径枚举。

2、Html基础

3、命令执行

4、 Linux提权

先访问网站,我使用的是vm,网卡为桥接。ip的话个人感觉还是nmap直接扫快。用netdiscover等了半天。。。

访问网站主页,这里我当时没截图,因为主页没有可以利用的地方。

我们按照国际惯例,路径枚举:

WordPress/index.php访问没什么切入点,我去看了下sitemap.xml页面:

这个index.htnl做主页貌似是他们的惯例,我们拿去访问192.168.1.116/index.htnl

Ctf国际惯例,f12先:

这里思路很清楚了,提交数据的时候会转到cmd.php执行,然而我们看标签中有个hidden属性,hidden为真,这里扩展一下:hidden属性在百html5中,只要存在,就是隐藏效度果,而不论值为多少,所以我们删掉hidden属性后,会出来一个提交数据的框

刚才的html中写道,这里默认为get方式提交,我们要搞事,当然不能用get提交表单,

这里触发的过程是我们先get提交一次,发现他后面的参数为AI,故而我们再来一次将其以post方法提交,后面执行我们的命令,

Ok了,我们看看能做些什么吧。

我尝试过反弹shell,但是他的好像权限不支持我那么做,我们看看他的目录下都有哪些文件吧。

我们或许可以尝试看看cmd.php这个文件

这里我用了burp,我们发现下面有疑似用户密码的数据。拿来试试吧

提权国际惯例,来看看:

这里给了好几个可以用root身份运行的进程,我试过bin/ping提权,但被打脸了,不过我们可以发现rpm也可以以root身份运行。

这里扩展一下rpm

我在rbm.com去找了关于rpm的资料,这句话我们可以知道rpm和lua的关联性,

众所周知,rpm有很多的宏。

rpm –eval “%{macro}’本为查看宏路径

但是:

Rpm –eval “%{lua:os.execute(‘/bin/bash’)}’会用lua创建一个交互的shell,再看:

上面sudo -l也打印过rpm是以root身份运行的,所以如果使用rpm调用lua创建一个交互shell的时候,前面加上sudo 最后得到的就是一个具有root权限的shell。

获得shell了我们走个黑帽国际惯例:

 

进到root身份后国际惯例看下目录:

Ok了,算是通关。

除了提权的部分知识可能需要点基础外,其他过程到简单,不过枚举目录的时候不用太认真,因为我就是在目录枚举这块挖了一些时间,发现了icon目录下的遍历,其中还有key.png 和key.gif我下意识以为隐写,看了key那个图片一段时间,最后去认真看xml的时候才发现那个htnl的后缀,所以还是思路最重要哇。。。

安全独秀圈系统安全质量好文

[vulnhub] BoredHackerBlog: Cloud AV

2020-4-27 11:49:16

WEB安全安全独秀圈质量好文

个人对HTTP请求走私的理解

2020-4-29 13:28:47

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
有新私信 私信列表
搜索