iT邦幫忙

2023 iThome 鐵人賽

DAY 24
0

Amaterasu

防雷頁


























可能的遺漏

  • 是一台有趣的靶機, 可能需要一些想像力, 但大多都有足夠的提示
  • 進入機器後, 檢查機器排程

摘要

  • 是一台有趣的靶機, 可能需要一些想像力, 但大多都有足夠的提示
    • 考驗對 REST API 的基礎認識
    • REST API 缺什麼參數或限制, 都有對應的回應
  • 進入機器後, 檢查機器排程(/etc/crontab)
    • 有一個定期排程的 bash script 可以利用
    • 利用方式別出心裁

Walkthrough

  • 先透過 nmap 確認開什麼 port 和什麼服務
    https://ithelp.ithome.com.tw/upload/images/20231008/20078298EXdn1jqjzL.png
    https://ithelp.ithome.com.tw/upload/images/20231008/20078298LxYPprSYea.png

  • dirb 掃描網站目錄
    https://ithelp.ithome.com.tw/upload/images/20231008/20078298jQxTa7BdHm.png

  • dirb 掃描網站目錄
    https://ithelp.ithome.com.tw/upload/images/20231008/20078298xN3hMoaeRH.png

  • 手動檢查網站
    https://ithelp.ithome.com.tw/upload/images/20231008/200782980Vbcefdb9e.png

  • 手動檢查網站, 看起來很多指令可以用
    https://ithelp.ithome.com.tw/upload/images/20231008/20078298bYORLYFb5a.png

  • 手動檢查網站, 可以取得目錄清單
    https://ithelp.ithome.com.tw/upload/images/20231008/20078298XuzRZfb090.png

  • 手動檢查網站, 目錄清單 /
    https://ithelp.ithome.com.tw/upload/images/20231008/20078298pNzZ1tQQKP.png

  • 手動檢查網站, 目錄清單 /root, 沒有權限
    https://ithelp.ithome.com.tw/upload/images/20231008/20078298AnFozNtSwe.png

  • 手動檢查網站, 目錄清單 /home
    https://ithelp.ithome.com.tw/upload/images/20231008/20078298eubY0WaEKA.png

  • 手動檢查網站, 目錄清單 /home/alfredo
    https://ithelp.ithome.com.tw/upload/images/20231008/20078298pgudCwfnjr.png

  • 手動檢查網站, 目錄清單 /home/alfredo/.ssh/
    https://ithelp.ithome.com.tw/upload/images/20231008/20078298si9M9qmKA4.png

  • 手動檢查網站, 嘗試上傳檔案
    https://ithelp.ithome.com.tw/upload/images/20231008/20078298NSVS02v2ZO.png

  • 手動檢查網站, 嘗試上傳檔案, 依據提示修正
    https://ithelp.ithome.com.tw/upload/images/20231008/20078298LPu52ksN1L.png

  • 手動檢查網站, 嘗試上傳檔案, 依據提示修正
    https://ithelp.ithome.com.tw/upload/images/20231008/20078298dyUPL6r24O.png

  • 手動檢查網站, 嘗試上傳檔案, 上傳成功
    https://ithelp.ithome.com.tw/upload/images/20231008/2007829869cAp2uth8.png

  • 手動檢查網站, 目錄清單 /tmp, 確定上傳成功
    https://ithelp.ithome.com.tw/upload/images/20231008/20078298wtDadHQAfa.png

  • 上傳 id_rsa.pubauthorized_keys
    https://ithelp.ithome.com.tw/upload/images/20231008/20078298svV7K0IWlv.png

  • ssh 成功登入 alfredo
    https://ithelp.ithome.com.tw/upload/images/20231008/20078298KnVj7PqmEj.png

  • get local.txt
    https://ithelp.ithome.com.tw/upload/images/20231008/20078298jn0y7bVPod.png

  • find setuid program
    https://ithelp.ithome.com.tw/upload/images/20231008/200782982najKVAeyA.png

  • 檢查 /etc/crontab
    https://ithelp.ithome.com.tw/upload/images/20231008/20078298c2AeeuN0nH.png

  • 檢查 /etc/passwd
    https://ithelp.ithome.com.tw/upload/images/20231008/20078298vWLOHurXG3.png

  • 利用 crontab 裡面的 script, 和相關權限, 看起來有機會利用
    https://ithelp.ithome.com.tw/upload/images/20231008/200782984V4ghsXmdp.png

  • 利用 crontabtar 進行提權
    https://ithelp.ithome.com.tw/upload/images/20231008/20078298TAHgaSkkcy.png

  • 成功寫入 /etc/passwd
    https://ithelp.ithome.com.tw/upload/images/20231008/20078298w4RP66J5wE.png

  • 登入 demo 高權限帳號, get proof.txt
    https://ithelp.ithome.com.tw/upload/images/20231008/20078298tcwBcKKE7w.png

ref

Photographer

防雷頁


























可能的遺漏

  • samba 原本的功能是什麼 ?
  • 靶機可能需要較多想像力
  • web 頁面功能和版本
  • 進入機器後, 檢查程式檔案權限

摘要

  • samba 原本的功能是什麼 ? 有沒有什麼檔案可以下載
  • 靶機可能需要較多想像力, 密碼在 mail 裡面
  • web 頁面功能和版本(Koken 0.22.24) 在 exploitdb 有 exploit 可以用.
  • 透過找到有 setuid 的程式 php 進行提權

Walkthrough

  • 先透過 nmap 確認開什麼 port 和什麼服務, Koken 0.22.24
    https://ithelp.ithome.com.tw/upload/images/20231008/200782987TnsHNJvcl.png

  • dirb 掃描網站目錄
    https://ithelp.ithome.com.tw/upload/images/20231008/20078298EoY7WmTW72.png

  • dirb 掃描網站目錄
    https://ithelp.ithome.com.tw/upload/images/20231008/2007829824RzjO4Exr.png

  • enum4linux(01)
    https://ithelp.ithome.com.tw/upload/images/20231008/20078298g29XUh9TmR.png

  • enum4linux(02), 可能存取資料夾 sambashare
    https://ithelp.ithome.com.tw/upload/images/20231008/20078298MX8AdbhrOX.png

  • enum4linux(03)
    https://ithelp.ithome.com.tw/upload/images/20231008/200782981E5ZFI78T2.png

  • enum4linux(04)
    https://ithelp.ithome.com.tw/upload/images/20231008/20078298l78Ba12yVU.png

  • enum4linux(05)
    https://ithelp.ithome.com.tw/upload/images/20231008/20078298HkkzENMy4L.png

  • 存取 sambashare 密碼為空, 成功下載檔案, mail 疑似有密碼 babygirl
    https://ithelp.ithome.com.tw/upload/images/20231008/20078298vGxMRGwcBB.png

  • 手動檢查網站
    https://ithelp.ithome.com.tw/upload/images/20231008/20078298vrZpysK8Fm.png

  • 手動檢查網站
    https://ithelp.ithome.com.tw/upload/images/20231008/20078298IJ5pCZP5Lq.png

  • 使用 daisa@photographer.com/babygirl 登入網站, 登入成功
    https://ithelp.ithome.com.tw/upload/images/20231008/20078298EauchjdJXN.png

  • exploitdb(search koken, 有 exploit 可以嘗試)
    https://ithelp.ithome.com.tw/upload/images/20231008/20078298t0FI4XHGiV.png

  • exploitdb(是 exploit 方法)
    https://ithelp.ithome.com.tw/upload/images/20231008/20078298tAjYWH8w8W.png

  • exploitdb 方法 upload webshell
    https://ithelp.ithome.com.tw/upload/images/20231008/20078298pLVAmWuYqz.png

  • 檢查上傳回傳連結, 發現 webshell 實際位置
    https://ithelp.ithome.com.tw/upload/images/20231008/20078298AFD0cbcziy.png

  • 存取 webshell
    https://ithelp.ithome.com.tw/upload/images/20231008/20078298Rhfgx8oAiG.png

  • reverse shell
    https://ithelp.ithome.com.tw/upload/images/20231008/20078298pGUKFDZ45g.png

  • 使用 python 取得 pty shell
    python3 -c 'import pty; pty.spawn("/bin/bash")'

  • get local.txt
    https://ithelp.ithome.com.tw/upload/images/20231008/20078298BIrISlVPS0.png

  • find setuid program
    https://ithelp.ithome.com.tw/upload/images/20231008/20078298er2wmnwYmT.png

  • 檢查 /etc/crontab
    https://ithelp.ithome.com.tw/upload/images/20231008/20078298RsFjhwqryF.png

  • 檢查 /etc/passwd
    https://ithelp.ithome.com.tw/upload/images/20231008/20078298xv6ReLRVBt.png

  • 利用 php 提權成功, get proof.txt
    https://ithelp.ithome.com.tw/upload/images/20231008/20078298lAAKMwYeke.png

ref


上一篇
[Day 23] PG Play Empire-breakout Writeup
下一篇
[Day 25] PG Play Dawn & Solstice Writeup
系列文
PG Play 怎麼玩都不累 - 靶機 writeup 思路分享30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言