防雷頁

可能的遺漏

• 網站很多頁面和功能, 要有耐心一個一個檢查
• 進入機器後, 檢查有沒有什麼有趣的檔案
• 切換身分後, 要重新檢查一次權限

摘要

• 網站很多頁面和功能, 要有耐心一個一個檢查, 特別是 store 的上傳功能
• 進入機器後, 檢查個人有沒有什麼有趣的文字檔案
• 切換身分後, 要重新檢查一次 sudo 權限

Walkthrough

• 先透過 nmap 確認開什麼 port 和什麼服務
  

• dirb 掃描網站目錄
  

• 手動檢查網站
  

• 手動檢查網站(secret)
  

• 手動檢查網站(secret/robots.txt)
  

• 手動檢查網站(robots.txt)
  

• 手動檢查網站(gym)
  

• 手動檢查網站(admin)
  

• 手動測試網站(SQL injection bypass login)
  

• 手動檢查admin登入網站(收集有用資訊和尋找可能攻擊向量)
  

• 手動檢查admin登入網站(收集有用資訊和尋找可能攻擊向量)
  

• 手動檢查admin登入網站(收集有用資訊和尋找可能攻擊向量)
  

• 手動檢查admin登入網站(收集有用資訊和尋找可能攻擊向量)
  

• 手動檢查admin登入網站(收集有用資訊和尋找可能攻擊向量)
  

• 手動檢查store網站(弱密碼 admin/admin 嘗試登入)
  

• 登入成功
  

• 下載 webshell b374k
  

• 手動檢查store網站(收集有用資訊和尋找可能攻擊向量), 有上傳功能
  

• 手動測試store網站(選擇 b374k.php, 點選 Change, 並沒有特別回應)
  

• 手動檢查store網站(點選 Confirm, 有疑似 SQL 錯誤訊息)
  

• 手動檢查store網站(檢查修改資料的圖片)
  

• 手動檢查store網站(路徑移除圖片檔名, 並檢視, 發現剛剛上傳 webshell 有成功)
  

• 連線 webshell(密碼為 b374k)
  

• b374k webshell 介面
  

• reverse shell
  

• 使用 python 取得 pty shell
  python3 -c 'import pty; pty.spawn("/bin/bash")'

• get local.txt
  

• find setuid program
  

• check /etc/passwd, 是不是有其他使用者
  

• 檢查 tony 家目錄, 有明文密碼檔案, 並成功登入
  

• sudo -l 檢查有哪些程式可以提權執行, 其中 pkexec 可以利用, get proof.txt
  

ref

• pkexec | GTFOBins