|
Приветствую всех, дорогие обитатели ресурсов Codeby! Представляю вашему вниманию очередной авторский врайтап к заданию с площадки Antichat. Сегодня мы попробуем выбраться из Лабиринта / Администрирование.
Подключаемся через netcat по айпишнику с портом, которые указаны в описании таска https://forum.antichat.xyz/attachmen...0285690014.png Посмотрим справочник по командам через /help https://forum.antichat.xyz/attachmen...0285765072.png Окей, вектор у нас однозначно только один - команда /hello, которая выводит приветствие с указанным именем. Тестируем https://forum.antichat.xyz/attachmen...0288292296.png Догадываемся, что должна произойти какая-то инъекция команды. Допустим, что на стороне сервера скрипт выполняет printчерез evalследующим образом https://forum.antichat.xyz/attachmen...0286168292.png Тогда наш пейлоад для удаленного выполнения команды был бы следующим Код:
'),print('pwd')#https://forum.antichat.xyz/attachmen...0288320531.png У нас этот пейлоад работает. Но, мы точно не знаем, как именно принимает аргумент скрипт на сервере. Попробуем свой пейлоад на реальной цели https://forum.antichat.xyz/attachmen...0288410348.png Не совсем то, что мы ожидали. Вероятно, хоть сервер обрабатывает запрос через python, но передает он другому скрипту, который написан на абсолютно любом интерпретируемом языке программирования. Допустим, скрипт передает введенное имя к другому скрипту на PHP. И имя он будет выводить скорее всего следующим образом Код:
eval("echo '\n$message\n';");Код:
';system('pwd');'https://forum.antichat.xyz/attachmen...0287374989.png Отлично! Мы успешно проэксплуатировали уязвимость CMD Injection. Смотрим список файлов https://forum.antichat.xyz/attachmen...0288368843.png Хмм. Вероятно, некоторые команды, как Код:
ls, cat, dir, nc и тдhttps://forum.antichat.xyz/attachmen...0288435753.png Отлично! Таким же подходом читаем флаг https://forum.antichat.xyz/attachmen...0287767634.png Бинго! Приятного хакинга и до скорых встреч : ) |
| Время: 16:03 |