Shared
Shared 是一台中等难度的 Linux 机器,它具有通向立足点的 Cookie SQL 注入,然后通过对 Golang 二进制文件进行逆向工程并利用两个 CVE 来获得 root shell 来提升权限。
外部信息收集
端口扫描
循例nmap
Web枚举
查看证书
看到这个扫了一下vhost
checkout子域
从主站商店选择一件商品加入购物车
结算后会跳到checkout子域
Foothold
从Cookie中的custom_cart带过来的
它受sql注入影响
接下来就是常规操作
得到james_mason的密码hash
在线爆得到明文密码
这次的ssh username没有变化,直接就是数据库这里的username
本地横向移动 -> dan_smith
传个pspy过去看
2024/01/08 22:33:01 CMD: UID=1001 PID=2469 | /bin/sh -c /usr/bin/pkill ipython; cd /opt/scripts_review/ && /usr/local/bin/ipython
2024/01/08 22:33:01 CMD: UID=0 PID=2472 | /usr/sbin/CRON -f
2024/01/08 22:33:01 CMD: UID=1001 PID=2473 | /bin/sh -c /usr/bin/pkill ipython; cd /opt/scripts_review/ && /usr/local/bin/ipython
ipython版本是8.0.0
谷歌得到一个相关的cve
这个版本在运行ipython时ipython总是会在当前目录查找配置文件,官方解释:
几乎所有版本的 IPython 都在当前查找配置和配置文件 工作目录。由于 IPython 是在 pip 和环境之前开发的 存在,它被用来在项目中加载代码/包的便捷方式 依赖方式。
在 2022 年,它不再需要,并且可能导致令人困惑的行为,其中 例如,克隆存储库并启动 IPython 或从 任何将 ipython 设置为内核的 Jupyter-Compatible 接口都可能导致 代码执行。
通过它,我们能够在dan_smith执行ipython时进行reverse shell
在/tmp创建个一样的目录结构,在startup/下写shellcode
cp过去/opt/scripts_review/
我们会得到它
本地权限提升
find
运行,发现它是登录了redis,密码估计是硬编码写代码里了
传回攻击机
ida一看密码就出来了
hacktricks告诉我们可以尝试load module
https://github.com/n0b0dyCN/RedisModules-ExecuteCommand/
make之后将so传过去
module load
root flag
