前言:2024年更的第一篇文章,最近在忙比赛比完更新频率可能就正常了。这个靶机咋说呢,最后没提权成功,因为脚本gcc编译的版本问题,不过问题不大。这个靶机整体偏CTF,不过其中代码审计那一块感觉还是不错的。
通过目录扫描发现robots.txt文件暗示了网站目录
查看源代码发现疑似网站备份文件的地址
但是直接访问这个目录没啥用,通过目录扫描得到info.php,暗示为backup.zip
下载得到网站备份文件,进行代码审计,发现config.php存在多个进行写入的操作,如果名特地目录下的年月日.php不存在则新建一个,如果存在就追加写入。来到login.php查看$reason和$log变量的值,可以看到$log是可控的变量。同时由于写入了dummy.php的原因会有一个session的验证,也就是说必须登陆了才能访问到。那么问题来了该如何登陆?
首先查看db.sql文件发现了demo用户,但是并无此用户,继续查看发现源码注释得到的邮箱和用户名
重置成功了但是我们还是不知道重置后的密码,查看reset.php
其实就是获取gmdate()得到的时间hash()函数处理后截取前20位,然后在md5加密存储进数据库,所以我们只要把重置的时间拿去处理一下即可。
成功登入了,下面就是在登陆时候的$email变量写入木马了
本来想写入一句话木马使用蚁剑连接的,但是我携带了cookie也没连接上,所以就直接反弹shell吧。反弹shell就要注意要记得要url编码,后面根据内核版本16.04可以轻松找到提权脚本,但是由于靶机不自带gcc,需要在攻击机编译好以后在传回执行,但是因为版本问题没成功。
原文始发于微信公众号(飞奔的狸花猫):靶机g0rmint打靶记录
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论