VulnHub-Momentum

前言

  这是打靶训练的第19周,靶机下载。难度中。这次学到了redis的一个小技巧

信息搜集

  nmap扫描结果

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
80/tcp open  http    Apache httpd 2.4.38 ((Debian))

  访问网页,只有几张图片
  
  点击图片,出现id字样,试了下没sql注入漏洞
  
  查看源代码存在/js/main.js

function viewDetails(str) {

  window.location.href = "opus-details.php?id="+str;
}

/*
var CryptoJS = require("crypto-js");
var decrypted = CryptoJS.AES.decrypt(encrypted, "SecretPassphraseMomentum");
console.log(decrypted.toString(CryptoJS.enc.Utf8));
*/

  阅读源码得知,它使用了一个crypto-js加密库。并且使用aes解密一段密文,而密钥是SecretPassphraseMomentum。现在就差密文了。这段密文其实就是cookie。
  
  即U2FsdGVkX193yTOKOucUbHeDp1Wxd5r7YkoM8daRtj0rjABqGuQ6Mx28N1VbBSZt。其实我感觉这里非常的不合理,就有种打cft的感觉了
  使用codepen进行在线解密,获取明文为:auxerre-alienum##
  

提权

  使用用户名auxerre,密码auxerre-alienum##成功登录。先查看下用户cat /etc/passwd
  
  这个redis就很有意思了,redis有未授权漏洞,默认端口是6379。使用ss -pantu,redis服务运行中
  
  redis开启中,输入以下命令得到root密码

redis-cli
info
KEYS *
get rootpass

  
  很明显了root密码是m0mentum-al1enum##su root过去提权成功
  

查看评论 -
评论