2023 iThome 鐵人賽

DAY 26

0

Security

PG Play 怎麼玩都不累 - 靶機 writeup 思路分享系列第 26 篇

[Day 26] PG Play Ha-natraj & Inclusiveness Writeup

15th鐵人賽

團隊這是可以免費看的嗎

2023-10-10 23:20:20

264 瀏覽

分享至

Ha-natraj

防雷頁

可能的遺漏

是一台很有趣的靶機, 有很多創意的發想, 但也有一點無奈的部分
切換身分後, 要重新檢查一次權限

摘要

是一台很有趣的靶機, 有很多創意的發想, 但也有一點無奈的部分
- Local File Inclusion 只能用硬爆的, 沒有發現提示
- Local File Inclusion 和 ssh log 組合技很有趣
- 利用 apache 和 webshell 切換使用者很有趣
切換身分後, 要重新檢查一次 sudo 權限

Walkthrough

先透過 nmap 確認開什麼 port 和什麼服務
dirb 掃描網站目錄
手動檢查網站
手動檢查網站
手動檢查網站
利用 ffuf 掃描 /console/file.php 的 parameter and value, parameter 清單從網路上抓, value 使用常見 payload 進行測試, 發現有 LFI(Local File Inclusion) 的弱點
Local File Inclusion(/etc/passwd)
Local File Inclusion(/etc/issue)
Local File Inclusion(/proc/version)
Local File Inclusion(/proc/self/status)
Local File Inclusion(/proc/mounts)
Local File Inclusion(/var/www/html/index.html)
Local File Inclusion(.bash_history), 為空
Local File Inclusion(.ssh/id_rsa), 為空
Local File Inclusion(.bash_history), 為空
Local File Inclusion(.ssh/id_rsa), 為空
Local File Inclusion(/var/log/apache2/access.log), 為空
Local File Inclusion(/var/log/auth.log)
利用 ssh username 寫入字串
利用 ssh username 寫入 webshell
reverse shell
使用 python 取得 pty shell
python3 -c 'import pty; pty.spawn("/bin/bash")'
get local.txt
find setuid program
檢查 /etc/crontab
檢查 /etc/passwd
檢查 sudo -l 和 apache2 資料夾權限, 發現可以重啟 apache2 和修改 apache2.conf
檢查 apache2.conf 發現可以修改使用者和群組
修改 apache2.conf 並且重新啟動
reverse shell again, 使用者成功變更為 mahakal
檢查 sudo -l
利用 nmap 提權, get proof.txt

ref

Inclusiveness

防雷頁

可能的遺漏

是一台有趣的靶機, 可能需要一些推測, 給的方向都蠻明確的
注意可能有 Rabbit Hole
進入機器後, 檢查程式檔案權限

摘要

是一台有趣的靶機, 可能需要一些推測, 給的方向都蠻明確的
- User-Agent
- Local File Inclusion
- ftp upload
- $PATH hijack
注意可能有 Rabbit Hole, DNS Zone Transfer Attack
透過找到有 setuid 的程式 rootshell 進行提權

Walkthrough

先透過 nmap 確認開什麼 port 和什麼服務
dirb 掃描網站目錄
手動檢查網站
手動檢查網站
尋找可用的 User-Agent 名稱
手動檢查網站
手動檢查網站
手動檢查網站
手動測試網站(Local File Inclusion), 推測可能有弱點
Local File Inclusion(/etc/passwd)
Local File Inclusion(/etc/issue)
Local File Inclusion(/proc/version)
Local File Inclusion(/proc/self/status)
Local File Inclusion(/proc/mounts)
Local File Inclusion(/var/www/html/index.html)
Local File Inclusion(.bash_history), 為空
Local File Inclusion(.ssh/id_rsa), 為空
Local File Inclusion(/var/log/apache2/access.log), 為空
Local File Inclusion(/var/log/auth.log), 為空
Local File Inclusion(/etc/vsftpd.conf), 發現上傳路徑
手動檢查ftp(anonymous登入), 可以上傳 webshell
Local File Inclusion(webshell)
reverse shell
使用 python 取得 pty shell
python3 -c 'import pty; pty.spawn("/bin/bash")'
get local.txt
find setuid program
檢查 /etc/crontab
檢查 /etc/passwd
檢查 setuid /home/tom/rootshell
利用 /home/tom/rootshell 提權
get proof.txt

ref

[Day 25] PG Play Dawn & Solstice Writeup

[Day 27] PG Play FunboxEasyEnum & Monitoring Writeup

系列文

PG Play 怎麼玩都不累 - 靶機 writeup 思路分享共 30 篇

目錄

RSS系列文訂閱系列文

10 人訂閱

完整目錄

直播研討會

{{ item.subject }}

{{ item.channelVendor }} {{ item.webinarstarted }} |

{{ formatDate(item.duration) }}

直播中

尚未有邦友留言

立即登入留言

參賽組數

1064 組

團體組數

40 組

累計文章數

22128 篇

完賽人數

595 人

15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js

IT邦幫忙