PART.01 登入过程
1. 访问靶场地址http://101.43.22.226/?name=2023,框架为Flask。
![](http://dingyue.ws.126.net/2023/0802/96a9fe15j00ryr50a0027d000v900abp.jpg)
2. 测试存在ssti注入。
![](http://dingyue.ws.126.net/2023/0802/d2c91b76j00ryr50p001kd000v900cpp.jpg)
3. 直接执行以下命令。
http://101.43.22.226/?name={% for c in [].__class__.__base__.__subclasses__() %}
{% if c.__name__ == 'catch_warnings' %}
{% for b in c.__init__.__globals__.values() %}
{% if b.__class__ == {}.__class__ %}
{% if 'eval' in b.keys() %}
{{b['eval'('__import__("os").popen("whoami").read()') }}
{% endif %}
{% endif %}
{% endfor %}
{% endif %}
{% endfor %}
![](http://dingyue.ws.126.net/2023/0802/2d4776b0j00ryr5140035d000v900dep.jpg)
4. 测试目标可以出网,直接执行命令反弹shell和上线msf。
5. 对当前机器进行信息搜集,存在双网卡172.25.1.3和10.10.10.100。
6. 添加路由。
![](http://dingyue.ws.126.net/2023/0802/4896bbe5j00ryr51o00q9d000v900j6p.jpg)
7.对10.10.10.0段存活主机进行扫描,
![](http://dingyue.ws.126.net/2023/0802/2757bc62j00ryr52400pqd000v900ftp.jpg)
8. 存活主机有10.10.10.101、10.10.10.102、10.10.10.200 和10.10.10.201。其中,200,201这两台机器开放了445端口,在此探测是否存在永恒之蓝漏洞。
![](http://dingyue.ws.126.net/2023/0802/4661e4f5j00ryr52j00a3d000v90068p.jpg)
9. 对200这台机器进行漏洞利用。由于不确定200这台机器是否出网,所以payload要设置成正向shell,最后成功获取到这台机器的权限。
![](http://dingyue.ws.126.net/2023/0802/3bacfff6j00ryr52x0071d000u0005cp.jpg)
![](http://dingyue.ws.126.net/2023/0802/40bfd220j00ryr53a00pyd000v900jfp.jpg)
10. 因为10.10.10.100这台机器是可以出网的,将它作为我们的跳板机。远程下载frp,搭建socks5代理。
![](http://dingyue.ws.126.net/2023/0802/a28208b5j00ryr53s008cd000v9005up.jpg)
11. 对10.10.10.101进行端口扫描,开放22和80端口,访问80的web服务。
![](http://dingyue.ws.126.net/2023/0802/0e6119abj00ryr54600g0d000v900fcp.jpg)
12. 测试存在文件,文件包含漏洞(不存在远程文件包含)。
![](http://dingyue.ws.126.net/2023/0802/d2ac6e52j00ryr54i005od000v900e7p.jpg)
13. 经过fuzz读取到配置文件config.php,从中获取到数据库的账户密码。
![](http://dingyue.ws.126.net/2023/0802/a44c32eaj00ryr54v003gd000v9009bp.jpg)
14. base64解码后的数据库用户名为catcat,密码为wannatobeacat。但是由于数据库还是不能连接,因此想到了密码复用——使用ssh,登录上catcat的账户。
![](http://dingyue.ws.126.net/2023/0802/d6941fc7j00ryr556003zd000v9005vp.jpg)
15. 当前用户权限较低,尝试提权。使用pspy扫描后发现,root用户每分钟会执行一次backup.sh,且当前用户catcat可以修改此文件。
![](http://dingyue.ws.126.net/2023/0802/fd137f1aj00ryr55i00fod000v900axp.jpg)
16. 在backup.sh文件中添加 chmod 4475 /bin/bash,执行bash -p后成功提权。
![](http://dingyue.ws.126.net/2023/0802/d8c448dfj00ryr55u006vd000uy00aep.jpg)
17. 对10.10.10.102机器进行扫描,发现开放了22和5000端口。访问5000后发现,其是web服务。
![](http://dingyue.ws.126.net/2023/0802/18c86baaj00ryr566001kd000v900djp.jpg)
18. 存在用户名枚举,但是未爆破出密码,sql注入也不存在。
![](http://dingyue.ws.126.net/2023/0802/6f588370j00ryr56l005ud000v900fxp.jpg)
19. 这里发现用的框架为Express。通常情况下,用的是mongdb数据库,尝试nosql注入。参考链接如下:
https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/NoSQL%20Injection#exploits
20. 修改payload。
注意:需改动未Content-Type: application/json。
{"user": {"$ne": null}, "password": {"$ne": null}}
21.成功进入后台。
![](http://dingyue.ws.126.net/2023/0802/b4fbf250j00ryr570007fd000v900hrp.jpg)
PART.02 渗透过程
1. 新建文章。
![](http://dingyue.ws.126.net/2023/0802/e8d30d07j00ryr57c0022d000v900g5p.jpg)
2. 提交后服务报错,从报错信息中获取到了网站的物理路径。
![](http://dingyue.ws.126.net/2023/0802/ae083bdfj00ryr57o004id000v900bhp.jpg)
3. 存在上传功能点测试,返回非法的XML格式,并且发现数据库的请求头也是/articles/xml。查看是否存在xxe漏洞。
![](http://dingyue.ws.126.net/2023/0802/10466aafj00ryr582006kd000v900e8p.jpg)
4. 尝试读取/etc/passwd文件,成功读取后确定存在xxe漏洞。
![](http://dingyue.ws.126.net/2023/0802/abad7ca4j00ryr58l008kd000v900fhp.jpg)
5. 就刚才获取到的网站物理路径,读取配置文件server.js的内容。
![](http://dingyue.ws.126.net/2023/0802/3a3d2a4cj00ryr59k0079d000v900hcp.jpg)
6. 执行命令反弹shell到主机10.10.10.100。
![](http://dingyue.ws.126.net/2023/0802/12aa2b9aj00ryr5a00061d000v900evp.jpg)
![](http://dingyue.ws.126.net/2023/0802/c3d568e3j00ryr5ah00eld000v9009xp.jpg)
7. 发现当前用户可以凭借root权限执行/bin/check文件。
![](http://dingyue.ws.126.net/2023/0802/322c12fej00ryr5b500l9d000v900ekp.jpg)
8. 查看/bin/check文件,引用os.py。
![](http://dingyue.ws.126.net/2023/0802/d5711627j00ryr5bk009vd000nw0094p.jpg)
9. 此处直接修改os.py文件内容,以sudo的权限执行check文件即可提权(由于此处获取交互式shell就会系统停顿,所以没有继续提权)。
10. 主机10.10.10.201开放了比较多的端口,首先访问80端口,但其web服务需要进行验证,利用弱口令admin,admin成功进入后台。
![](http://dingyue.ws.126.net/2023/0802/c94dec33j00ryr5c0002yd000v900fsp.jpg)
11. 存在文件上传功能点,但是无论上传任何格式都能够成功返回,只是无法找到上传的路径。
![](http://dingyue.ws.126.net/2023/0802/de3a0155j00ryr5ce00apd000v900kip.jpg)
12.此处提示样本会上传到文件共享服务器,测试团队将手动审查上传的内容,构造SCF文件以索取ntlm hash,并将文件上传到目标服务器。
![](http://dingyue.ws.126.net/2023/0802/7572b2c3j00ryr5cr0017d000v900bdp.jpg)
13. 在跳板机上安装Respondr,并对其进行监听。
![](http://dingyue.ws.126.net/2023/0802/8cdef2c5j00ryr5d2009fd000rs009ep.jpg)
14. 成功抓取到NTLMv2 Hash。
![](http://dingyue.ws.126.net/2023/0802/9d5b5fecj00ryr5dj00g6d000v9008jp.jpg)
15. 使用hashcat破解。
hashcat -m 5600 hash.txt rockyou.txt
![](http://dingyue.ws.126.net/2023/0802/bb959d3fj00ryr5dz00avd000v900czp.jpg)
16. 破解出密码为tobyallison31。此外,目标机器开放了5985端口,使用evil-winrm进行连接。
![](http://dingyue.ws.126.net/2023/0802/fb3870e4j00ryr5ee005bd000v900a6p.jpg)
17. 生成正向木马bind.exe,上传到该目标机器后获取到meterpreter。
![](http://dingyue.ws.126.net/2023/0802/f911fee5j00ryr5es008wd000v900fyp.jpg)
18. 查看powershell的历史记录,发现他下载并开启了Goservice服务,我们可以替换文件来进行提权。
![](http://dingyue.ws.126.net/2023/0802/a9c6ef12j00ryr5fa00cwd000v9008ep.jpg)
19. 暂时停止服务。
![](http://dingyue.ws.126.net/2023/0802/9ed2369ej00ryr5fp00jud000v900ecp.jpg)
![](http://dingyue.ws.126.net/2023/0802/38fc7e4dj00ryr5g3004pd000v9009sp.jpg)
20. 将bind.exe上传到目录,并重命名为service.exe。
![](http://dingyue.ws.126.net/2023/0802/5bee4d1bj00ryr5gj008dd000v90054p.jpg)
21. 重新启动GoService服务。
![](http://dingyue.ws.126.net/2023/0802/935a25b7p00ryr5hz001pd000v9002ip.png)
22. 成功返回一个meterpreter且权限为system权限。
![](http://dingyue.ws.126.net/2023/0802/fd006809j00ryr5il00mnd000v900g3p.jpg)
热门跟贴