文章描述了一次在HTB(HackTheBox)平台上的Previse靶机攻防演练,通过信息收集发现用户名,利用302重定向漏洞,创建账户,进行命令注入尝试。之后,通过解密密码,利用sudo权限和log文件进行操作,最终获取root权限。过程中提到了EAR漏洞(即绕过302重定向的攻击方式)的应用。
信息收集
主页是一个登陆界面,最底下可能暴露了用户名m4lwhere。
试试。
访问根目录就会出现302重定向。
而且貌似是登陆状态。那么问题来了,有没有办法阻止重定向。
经过摸索发现可以修改302为200绕过。
上面有accounts,files,management menu,logout几个选择。基本都要重复上面的操作。所以下一步直接来创建一个账户。
MANAGEMENT MENU里的LOG DATA可以看到一些日志。
查看日志内容。
尝试能否命令注入。
开机
要把&改为%26。
当前目录找到了数据库信息。
没有stty的缘故,所以查询数据库的时候加上-e。
为啥有个盐的图标。
root
使用hashcat解密的密码登录。
查看sudo -l。
gzip -c把压缩后的文件直接输出出来。
查看/var/log/apache2/access.log和/var/www/file_access.log内容。因为我们反弹回来的shell用户是www-data,所以我们可以控制/var/www/file_access.log文件。
date --date=“yesterday” +%Y%b%d会输出昨天的年月日。
接着去看看/var/backups/权限。
好了这条语句看完了,那么我们可能会从两个地方入手。
第一个grep,没有完整路径。
第二个,/var/www/file_access.log。
我确实想不到第二个有什么姿势利用,所以我们利用第一个。
先创建一个gzip文件,内容如下,当然可以回弹、ssh等,都可以。
然后执行sudo PATH=$PWD:$PATH /opt/scripts/access_backup.sh
后面看大佬0xdf的攻略才知道修改302为200这种攻击方式是有名字的叫EAR漏洞。
扫一扫
1948
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
