tryhackme-Valley(古)
信息收集
首先对靶机进行端口扫描
占时扫描到开放端口22
和80
端口,访问80
端口
有两个按钮,一个按钮是展示的照片,一个按钮是照片的价格,这里透漏了一些个人信息,例如用户名可能为Valley
,他的公司是premire
自习观察url
得到两个目录pricing
和gallery
,访问查看
访问note.txt
并没有看太懂他的意思,使用gobuster
扫描靶机
gobuster dir -u http://10.10.80.92/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x txt,html,js,php,zip -t 66
没有扫描到相关信息
这里我没有办法了,这是我最不想尝试的办法,因为CTF
喜欢这样做题,
由于static/1
目录都是数字并且按顺序排序,尝试进行爆破
这里步骤就不在叙述了,因为我也没有爆破成功,最后参考wp得到,访问的文件名为00
,好吧,这个确实没想到,得到一些提示
接着访问/dev1243224123123
目录
是一个登录页面,通过js
文件发现用户名siemDev
和密码california
,登录后跳转到/dev1243224123123/devNotes37370.txt
提示使用重复的用户名访问ftp
,这我在第一次扫描并没有得到ftp
的端口号,由于网络原因-p-
扫描很慢,后面扫描得到ftp
端口号为37370
使用用户名和密码接着登录下载pcapng
文件
使用wireshark
分析,在一个登录提交
页面找到用户名valleyDev
和ph0t0s1234
使用ssh
连接,得到user.txt
权限提升
在/home
目录下发现文件valleyAuthenticator
,使用scp
复制到kali
进行分析
在其中一块发现有规律的字符
刚好32
位,使用cmd5.com
破解出密码为liberty123
但是并不知道是哪一个用户,最终文件名的提示,切换到valley
用户成功
切换用户后也没有发现较高的权限,最后发现/etc/crontab
的计划任务
分析该python
程序,发现使用了base64
模块,可以修改调用base64.py
模块的源代码来进行提权(这也是我第一次学习)
找到base64.py
文件的位置,并查看对该文件的权限
发现所有组只要在valleyAdmin
中即可,查看当前用户,属于valleyAdmin
组中
修改base64.py
,加入以下代码执行系统命令
import os
os.system('cp /bin/bash /tmp/rootbash;chmod +sx /tmp/rootbash')
成功获取root
权限