SSRF引发的血案(3)

尝试反弹计划任务，但是等了半天也没见shell弹回来，猜测可能是权限不够，没能够成功写入，可惜前期测试中并没有发现信息泄露暴露出web目录的路径，不然能写个webshell也是极好的。

没办法，这个只能先搁置一边，条条大路同罗马，既然这个域名不行，看看有没有绑定的其他域名在这个ip上。

通过之前记录的dnslog上的ip地址进行反查，发现了该ip地址下绑定了其他域名。

访问后改掉url变量后的默认参数，触发报错，成功爆出了绝对路径，小小的报错，却提供了巨大的价值。

因为是旁站，现在获取到了B站的网站路径，如果能通过A站的ssrf把webshell写到B站的web路径里也是美滋滋了，说干就干。

访问shell，并敲入whoami命令查看权限，发现是个低权www用户。

弹个交互的shell出来方便进行提权，但是远程服务器一直没法正常收到shell。

切换一下端口，网络管理员可能做了一定的限制，尝试通过443，53等经常开放的端口弹出shell。

成功拿到shell，获取到低权限SHELL后一般会看看内核版本，检测当前用户权限，再列举Suid文件，如果都没发现可能会借助一些自动化脚本来检查可能存在的提权方式。

通过find / -perm -u=s -type f 2>/dev/null看看有s属性文件。

Python好像是可以通过suid提权的，翻了翻自己的小笔记，payload一发入魂。

这里附上centos下suid提权较为全面的总结。

至此测试结束。

整个测试过程遇到很多困难，许多地方看似简单，其实是反复尝试之后才顺利过关。

测试中其实并未使用多么牛逼的攻击手段，简单梳理整个流程：全网信息搜集发现用户账户撞库拿到部分密码前端验证绕过发现新功能点ssrf探测信息旁站获取web绝对路径跨网站写入shell拿到shell后通过suid提权。