tryhackme-Boiler CTF
信息收集
使用nmap
对靶机进行信息收集
根据扫描开放的端口,先访问21
端口进行初步探测
并没有得到有用的提示,继续访问80
端口进行探测
根据页面回显,靶机应该是一个ubuntu
的操作系统,可能有隐藏目录,使用gobuster
进行目录扫描
gobuster dir -u http://10.10.229.228/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x txt,html,js,php -t 50
扫描到了robots.txt
文件,继续扫描到了joomla
目录,访问查看
提供了一些目录,访问这些目录并不存在,提供了一段奇怪的代码,看着像ascii
值,使用python
脚本进行解码
str1 = "079 084 108 105 077 068 089 050 077 071 078 107 079 084 086 104 090 071 086 104 077 122 073 051 089 122 085 048 077 084 103 121 089 109 070 104 078 084 069 049 079 068 081 075"
str1 = str1.split(" ")
# print(chr(int("097")))
str2 = ''
for i in str1:
str2 += chr(int(i))
import base64
str3 = base64.b64decode(str2).decode("UTF-8")
print(str3)
# md5:99b0660cd95adea327c54182baa51584
# kidding
通过解密,得到md5
值,解码后得到kidding
,可能是密码,或者提示,现在并没有太大用处
接着访问joomla
这是一个joomla
的cms
,查看源代码和使用wappalyzer
没有识别出版本,在网上搜索joomla
渗透测试找到配置文件包含CMS版本号
/joomla/administrator/manifests/files/joomla.xml
得到该cms
的目录结构,版本为3.9.12-dev
通过搜索,没有得到该cms
的exploit
,并且通过尝试没有进入后台,暂时放一放,尝试访问其他端口
通过nmap
的扫描结果,得到10000
端口开放这webmin
服务,访问查看
使用https
访问
扫描到该服务的版本号为1.930
,通过searchsploit
等搜索也没有得到exploit
接着我没有了头绪,猜测到可能是信息收集不够准确,可能没有扫描到其他的目录,或者端口号,继续信息收集,这次我们换一个目录扫描工具,对joomla
目录进行目录扫描
使用nmap -p-
扫描全部端口
由于延迟问题,扫描很慢,这里就不放截图了,多扫描处一个ssh
服务端口号为55007
使用dirb
进行目录扫描
dirb http://10.10.229.228/joomla
通过扫描结果,得到很多_
开头的目录,都是一些没用的提示,访问_test
目录,发现不一样
初始访问权限
通过网站标题sar2html
搜索得知该网站有一个开源漏洞
,就是plot
传参处问题,可以手动利用,这里我们使用python exploit
进行漏洞利用
成功命令执行
在log.txt
中发现密码登录信息
密码为superduperp@$$
查看cat /etc/passwd
或者查看ls -l /home
查看当前机器的用户
有basterd
和stoner
用户可以尝试,尝试ssh
连接
注意: 上述中我们已经使用nmap
扫描到ssh
端口号为55007
使用basterd
连接成功
通过家目录backup.sh
得到stoner
用户密码superduperp@$$no1knows
接着使用ssh
或者su
切换到stoner
的shell
得到第一个flag
权限提升
最为常见的suid
提权,使用find
查找
通过经验可以得出find
和at
提权,这里使用find
提权获取rootshell
上述中并没有提权成功,但是执行命令成功
这里复制bash
文件,并赋予suid
权限获得rootshell