网站和数据库,网站用什么软件做败sp,顺德网站建设多少钱,淘客网站cms怎么做BackendTwo
BackendTwo在脆弱的web api上通过任意文件读取、热重载的uvicorn从而访问目标#xff0c;之后再通过猜单词小游戏获得root 外部信息收集
端口扫描
循例nmap Web枚举 feroxbuster扫目录 /api/v1列举了两个节点 /api/v1/user/1 扫user可以继续发现login和singup 注…BackendTwo
BackendTwo在脆弱的web api上通过任意文件读取、热重载的uvicorn从而访问目标之后再通过猜单词小游戏获得root 外部信息收集
端口扫描
循例nmap Web枚举 feroxbuster扫目录 /api/v1列举了两个节点 /api/v1/user/1 扫user可以继续发现login和singup 注册个账户 登录 burp添加请求头 访问/docs edit中可以添加字段以修改它修改is_superuser 改完后需要重新登录一下
Foothold
读/proc/self/status 再读父进程的cmdline /proc/self/environ 从环境变量可以得知运行在/home/htb目录并且是app/main.py 由于uviron设置了–reload热重载所以可以直接写shellcode 但是这里需要jwt设置了debug
从main跟到core/config.py, jwt secret是api key 将jwt解码然后添加debug字段使用api key作为secret创建新的jwt 在main.py写shellcode 然鹅这个shell很快将会断开main会被重置但我们可以通过这个短暂的shell写ssh key 登录ssh 本地权限提升
auth.log有个密码它是htb的 sudo -l /opt有个字典 当我输入shell的时候前两位是正确的 从字典中过滤 我发现它是随机并非硬编码的每次sudo -l都会是不同的正确word
当我们输入正确的word后我们将能得到它
