赛季7靶场 - Environment

        本系列仅说明靶场的攻击思路，不会给出任何的详细代码执行步骤，因为个人觉得找到合适的工具以实现攻击思路的能力也非常重要。
 

1.Nmap扫描发现80和22端口

2.访问80端口，使用katana查看js代码，快速发现laravel框架。

【*】希望知道laravel框架版本信息

3.继续使用katana爬取各个页面没有发现版本信息。尝试让服务器报错，成功获取版本信息。laravel 11.30.0版本。搜索该版本的漏洞情况。发现了修改环境变量漏洞、XSS漏洞、Debugmode开启漏洞，laravel filemanager RCE漏洞。看着这些漏洞我们并不知道可以做什么。XSS无法发送到Admin从而进入后台，环境变量的修改我们也不知道可以做啥，Debugmode会泄露代码信息。

4.于是我尝试各个接口的debugmode并详细阅读代码，发现了一处有意思的代码。在login接口处，存在一个环境变量的判断，如果环境变量为 p***d ，则直接进入到manager/dashboard。我们成功进入了后台。

【+】通过laravel framwork环境变量漏洞完成登录验证绕过

5.发现了文件上传接口，根据前面的信息搜集可知 laravel framework filemanager可能会导致RCE漏洞。于是我们尝试对应的Poc，成功完成了RCE。

【+】Webshell搭建成功

6.我们非常希望获取一个用户。结合当前权限，我们比较优秀的方法便是寻找配置文件，和数据库文件。从配置文件发现数据库采用sqlite3，我们搜索数据库文件，成功找到了database.sqlite文件。我们拖下来进行破解，获取hish用户的密码hash。使用hashcat破解hash失败！

7.在此情况下，我们就有必要进行信息搜集流程了。在信息搜集流程中，我们发现了一个有趣的文件 .gpg文件。我们解密了这个.gpg文件，并获取了hish账户的密码。

【+】hish账户获取

8.利用hish账户搭建ssh shell。我们在信息搜集流程中，发现sudo -l存在有趣内容。我们可以sudo使用systeminfo命令。同时我们可以为sudo保留ENV和BASH_ENV环境变量。这将导致我们直接完成root

【+】获取root

心得

1.sudo中的一些参数也应当引起我们的注意，不懂的就去搜

2.对于框架漏洞，我们不仅仅应该看框架本身还应该查看插件和其他组件的漏洞。