iT邦幫忙

2023 iThome 鐵人賽

DAY 7
0

防雷頁


























可能的遺漏

  • 登入驗證 bypass 方式很多種
  • 管理者功能頁面可能有弱點
  • 檢查 sudo 的相關權限

摘要

  • 登入驗證 bypass 方式很多種, 請參考 strcmp() bypass
  • 管理者功能頁面有弱點, log 功能有 Path Traversal
  • 使用 sudo -l, 檢查 sudo 的相關權限, 發現需要密碼可以執行 /bin/nice, 並且推測其特性, 利用其提權.

Walkthrough

  • 先透過 nmap 確認開什麼 port 和什麼服務
PORT   STATE SERVICE VERSION
22/tcp open  ssh
80/tcp open  http
  • dirb 掃描網站目錄
    https://ithelp.ithome.com.tw/upload/images/20230921/20078298vlwTExrXo7.png

  • dirb 掃描網站目錄(admin)
    https://ithelp.ithome.com.tw/upload/images/20230921/20078298E1vHPNFMLD.png

  • 手動檢查網站
    https://ithelp.ithome.com.tw/upload/images/20230921/20078298ewbzNkD7PA.png

  • 手動檢查網站
    https://ithelp.ithome.com.tw/upload/images/20230921/200782986T2JWBcor7.png

  • 手動測試網站(弱密碼 admin/admin 嘗試登入, SQL injection bypass login)
    https://ithelp.ithome.com.tw/upload/images/20230921/20078298RtDBRmqgSG.png

  • 手動檢查網站
    https://ithelp.ithome.com.tw/upload/images/20230921/20078298NDpzbw5W9L.png

  • 手動檢查網站, 確認有使用者為 admin, 並沒有其他有用資訊
    https://ithelp.ithome.com.tw/upload/images/20230921/20078298FxQHqvu02q.png

  • 使用 burp 檢查, 登入請求
    https://ithelp.ithome.com.tw/upload/images/20230921/200782986SsnJzT0fq.png

  • 使用 burp 重送修改請求, 登入驗證繞過(strcmp() bypass), 登入成功
    https://ithelp.ithome.com.tw/upload/images/20230921/20078298ohs8gH0Qi9.png

  • 登入畫面
    https://ithelp.ithome.com.tw/upload/images/20230921/20078298ytnwj3RmUG.png

  • 手動檢查管理者頁面
    https://ithelp.ithome.com.tw/upload/images/20230921/20078298ryDMzQ2nR8.png

  • 手動檢查管理者頁面(user)
    https://ithelp.ithome.com.tw/upload/images/20230921/20078298q8GUr7kMYS.png

  • 手動檢查管理者頁面(date)
    https://ithelp.ithome.com.tw/upload/images/20230921/20078298kLwHNKfMnT.png

  • 手動檢查管理者頁面(log)
    https://ithelp.ithome.com.tw/upload/images/20230921/20078298ySFubBsT4r.png

  • 手動檢查管理者頁面(ping)
    https://ithelp.ithome.com.tw/upload/images/20230921/20078298DKmId4fJ3h.png

  • 手動測試網站(Path Traversal), 回應為空白
    https://ithelp.ithome.com.tw/upload/images/20230921/20078298YSEc2K55Zz.png

  • 手動測試網站(Path Traversal), 回應為空白
    https://ithelp.ithome.com.tw/upload/images/20230921/20078298Q11oC0VcMS.png

  • 手動使用管理者 log 頁面
    https://ithelp.ithome.com.tw/upload/images/20230921/20078298KEJOBoefgk.png

  • 使用 burp 檢查, 管理者 log 頁面
    https://ithelp.ithome.com.tw/upload/images/20230921/200782985mC6gBrdvD.png

  • 使用 burp 重送修改請求, 管理者 log 頁面(Path Traversal), 嘗試成功
    https://ithelp.ithome.com.tw/upload/images/20230921/200782982rNUghq9ko.png

  • 使用 burp 重送修改請求, 管理者 log 頁面(Path Traversal), 取回 /etc/passwd
    https://ithelp.ithome.com.tw/upload/images/20230921/20078298hkxRpb17VP.png

  • john 暴力破解, webadmin/dragon
    https://ithelp.ithome.com.tw/upload/images/20230921/20078298kL9s5UeKHh.png

  • ssh 成功登入 webadmin
    https://ithelp.ithome.com.tw/upload/images/20230921/20078298T8i8WKsXiJ.png

  • get local.txt
    https://ithelp.ithome.com.tw/upload/images/20230921/20078298ZiCypnlnnl.png

  • find setuid program
    https://ithelp.ithome.com.tw/upload/images/20230921/20078298wVYf1VNzCi.png

  • 檢查 /etc/crontab
    https://ithelp.ithome.com.tw/upload/images/20230921/20078298e8pCAUUecs.png

  • 檢查 sudo -l, 發現有趣的東西(有*號, 有機會), 很有一試的價值
    https://ithelp.ithome.com.tw/upload/images/20230921/20078298Zf0NOGBpV3.png

  • 利用 sudo 提權成功
    https://ithelp.ithome.com.tw/upload/images/20230921/200782980BRjyRBE1K.png

  • get proof.txt
    https://ithelp.ithome.com.tw/upload/images/20230921/200782987oO2hfpo6D.png

ref


上一篇
[Day 06] PG Play BBSCute Writeup
下一篇
[Day 08] PG Play FunboxRookie Writeup
系列文
PG Play 怎麼玩都不累 - 靶機 writeup 思路分享30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言