insomnia靶机—难度easy知识点-分号截断 #
Nmap扫描发现端口开放 8080然后我们访问看下是什么 #
我们访问发现一个网页感觉没什么关键地方
这里我们注意下! 我们扫这网站因为他404也返回200导致扫描工具不能用 我们可以设置不要返回那个数字来避免
比如gobuster
gobuster dir -u http://172.20.10.2:8080 \
-w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt \
-x php,txt \
--exclude-length 2899
避免长度2899的显示我们发现三个文件
其中关键的文件是这个administration.php
关于这个主页面不是你输入什么然后显示什么吗 然后我试了很多比如
1:SQL注入 2:SSRF
3:模板注入
都不行 然后 很奇怪的就来了 我直接用gobuster扫描发现你
每当你扫描一次他会往对话框放入都是都是空格 这里各位大佬应该都有思路了 用FUZZ下
然后我们发现了一个logfile文件我们加上参数过去果然啊 我输入1聊天就显示1
然后我试了很多比如logfile= 都不行
然后我们可以试试用sleep来看是不是没有回显比如
logfile=;sleep 5;
发现真的延迟了然后直接busybox nc 反弹shell
拿到shell权限 #
我们拿到SHELL可以看看源码
发现是直接拼接
我们用linpeas跑一下发现可以用这个sh文件 而且这文件是我们可以写的那就很简单了
文件写入/bin/bash 然后拿到julia
拿root #
因为可以看bash_history我们看下历史记录发现了再往定时任务反弹
然后我们使用下面程序来查看发现可以有一个sh文件被ROOT用户用/bin/bash来运行
pspy64
/bin/sh -c /bin/bash /var/cron/check.sh
用sh来执行命令
而且这文件我们可写
我们直接往里面写入命令如
chmod +s /bin/bash
发现成功拿到SUID权限
提权成功
/bin/bash -p
总结一下 #
1:多用用;截断 ,多观察联动性