【PolarCTF】这又是一个上传

前端绕过上传直接将webshell后缀命名为jpg然后使用burpsuite抓包改为php后缀即可绕过前端过滤。CVE-2021-4034 提权使用哥斯拉连接webshell想访问 /flag 是没有权限的信息收集通过信息收集sudo -lfind / -perm -us -type f 2/dev/null发现有一个 /opt/polkit-0.105/src/programs/.libs/pkexecpolkit是一个授权管理器其系统架构由授权和身份验证代理组成pkexec是其中polkit的其中一个工具他的作用有点类似于sudo允许用户以另一个用户身份执行命令payload地址https://github.com/berdav/CVE-2021-4034漏洞利用这里需要注意一个提权前提完整的tty是很多命令执行的前提。这里我们可以直接使用哥斯拉的SuperTerminal来解决即可。本来想在kali上编译完上传运行但是因为glibc版本不一样导致没办法运行那么就直接在目标主机上进行编译。我现在kali上将exp文件打包为.tar.gztar -zcvf CVE-2021-4034-main.tar.gz CVE-2021-4034-main然后使用哥斯拉上传并解压再编译就可以getshell参考文章CVE-2021-4034 Suid提权pkexec本地提权漏洞 - gzynuli - 博客园