前端绕过上传
直接将webshell后缀命名为jpg,然后使用burpsuite抓包改为php后缀即可绕过前端过滤。
CVE-2021-4034 提权
使用哥斯拉连接webshell:
想访问 /flag 是没有权限的:
信息收集
通过信息收集:
sudo -lfind / -perm -u=s -type f 2>/dev/null发现有一个 /opt/polkit-0.105/src/programs/.libs/pkexec
polkit是一个授权管理器,其系统架构由授权和身份验证代理组成,pkexec是其中polkit的其中一个工具,他的作用有点类似于sudo,允许用户以另一个用户身份执行命令payload地址:https://github.com/berdav/CVE-2021-4034
漏洞利用
这里需要注意一个提权前提:完整的tty是很多命令执行的前提。
这里我们可以直接使用哥斯拉的SuperTerminal来解决即可。
本来想在kali上编译完上传运行,但是因为glibc版本不一样,导致没办法运行,那么就直接在目标主机上进行编译。
我现在kali上将exp文件打包为.tar.gz:
tar -zcvf CVE-2021-4034-main.tar.gz CVE-2021-4034-main然后使用哥斯拉上传并解压,再编译,就可以getshell:
参考文章
CVE-2021-4034: Suid提权pkexec本地提权漏洞 - gzynuli - 博客园
)
