Aratus
你喜欢读书吗?你喜欢浏览大量的文字吗?阿拉图斯有你需要的东西!
端口扫描
循例nmap
FTP枚举
anonymous进到ftp,啥东西也没有
SMB枚举
smbmap看一下
进入这个可读的share
查看.txt
获得两个用户名,以及重要信息,这说明Simeon的密码可能不安全,并且可能以未知的形式散落各处
还有一堆名字差不多的文件夹,数量比较多,先下载
smb: \> prompt off
smb: \> recurse on
smb: \> mget *
文件夹下还有几个子文件夹,子文件下都是txt,使用bash一句话读取所有txt文件
果然有东西
保存下来尝试直接登录
ssh2john+john直接爆
成功进来
横向移动
在/var/www/html/test-auth中的.htpasswd文件找到了另一个账户的密码hash
hashcat直接爆
但这个密码似乎没用
阅读test-auth下的index.html
不知道它在暗示些什么,难道是要我传脚本过去吗
找了很久,都没有什么发现,于是看了眼wp
这里需要利用pspy
pspy 是一个命令行工具,旨在窥探进程而无需 root 权限。 它允许您查看其他用户运行的命令、cron 作业等。当他们执行时。 非常适合在 CTF 中枚举 Linux 系统。 也很高兴向您的同事展示为什么在命令行上将机密作为参数传递是一个坏主意。
该工具从 procfs 扫描中收集信息。 Inotify 放置在文件系统选定部分的观察程序会触发这些扫描以捕获短期进程。
将pspy通过curl传过去
运行它,观察到会有个py脚本在定时运行
这个脚本名称跟我们刚刚从/var/www/html发现的那个文件夹,目录名相似度99%,如果站在脚本开发者的角度,将test-auth的index.html那句话联系起来
或许这个脚本的功能就是用于测试curl是否能用又或者说测试网络是否连通,而pspy当中还有一个ping,这让我更坚信这个想法
使用tcpdump抓包
base64解码,得到了另一个账户的明文凭据
su过去,成功拿到user flag
权限提升
查看sudo -l
playbooks下有些这么些文件
读取其中一个,发现有个roles
在上级目录下也有一个role文件夹,过去那边看看,也有相同名字的目录
在该目录下有个tasks,然鹅上面那个文件里面也有, 名字是配置防火墙
查看tasks目录时发现有个文件权限跟其他文件与众不同,并且这些文件名都附带了一些系统名,我立刻查看了当前靶机系统是什么
这一切说明与那个可疑文件名有联系,可以大胆猜测,当这个程序执行时,会在tasks目录下寻找相应系统的yml
那么问题来了,那个“+”是什么东西呢,让大牛来解答一下
根据大牛的解释,能看出linux的acl应该类似于windows上的acl,知识+1
使用getfacl查看一下这个可疑文件的acl
果然,我们当前用户theodore可写
查看该yaml文件,可以执行命令,直接改,这里似乎无法执行多段shell命令,所以写个bash脚本
修改配置文件
然后sudo
注意,这里需要使用theodore的凭据通过ssh重新登录,否则这里sudo似乎将无法正确执行
竟然是root的suid
结束