本系列仅说明靶场的攻击思路,不会给出任何的详细代码执行步骤,因为个人觉得找到合适的工具以实现攻击思路的能力也非常重要。
1.Nmap扫描发现80和22端口
2.访问80端口,使用katana查看js代码,快速发现laravel框架。
【*】希望知道laravel框架版本信息
3.继续使用katana爬取各个页面没有发现版本信息。尝试让服务器报错,成功获取版本信息。laravel 11.30.0版本。搜索该版本的漏洞情况。发现了修改环境变量漏洞、XSS漏洞、Debugmode开启漏洞,laravel filemanager RCE漏洞。看着这些漏洞我们并不知道可以做什么。XSS无法发送到Admin从而进入后台,环境变量的修改我们也不知道可以做啥,Debugmode会泄露代码信息。
4.于是我尝试各个接口的debugmode并详细阅读代码,发现了一处有意思的代码。在login接口处,存在一个环境变量的判断,如果环境变量为 p***d ,则直接进入到manager/dashboard。我们成功进入了后台。
【+】通过laravel framwork环境变量漏洞完成登录验证绕过
5.发现了文件上传接口,根据前面的信息搜集可知 laravel framework filemanager可能会导致RCE漏洞。于是我们尝试对应的Poc,成功完成了RCE。
【+】Webshell搭建成功
6.我们非常希望获取一个用户。结合当前权限,我们比较优秀的方法便是寻找配置文件,和数据库文件。从配置文件发现数据库采用sqlite3,我们搜索数据库文件,成功找到了database.sqlite文件。我们拖下来进行破解,获取hish用户的密码hash。使用hashcat破解hash失败!
7.在此情况下,我们就有必要进行信息搜集流程了。在信息搜集流程中,我们发现了一个有趣的文件 .gpg文件。我们解密了这个.gpg文件,并获取了hish账户的密码。
【+】hish账户获取
8.利用hish账户搭建ssh shell。我们在信息搜集流程中,发现sudo -l存在有趣内容。我们可以sudo使用systeminfo命令。同时我们可以为sudo保留ENV和BASH_ENV环境变量。这将导致我们直接完成root
【+】获取root
心得
1.sudo中的一些参数也应当引起我们的注意,不懂的就去搜
2.对于框架漏洞,我们不仅仅应该看框架本身还应该查看插件和其他组件的漏洞。