THM打靶日寄8-Overpass2-hacked

• 流量文件分析

  直接看到是在 /development/ 的 upload.php 页面传了个 payload.php 上去

  

  上传的话要涉及到 http ，那就过滤一下

  追踪 upload 页面的数据流

  

  看到打的 payload

  既然连接了 shell ，那就去追踪 tcp 流

  

  看到密码 whenevernoteartinstant

  继续往下看，找到后门来源 https://github.com/NinjaJc01/ssh-backdoor

  

  问破解了多少个密码：注意到刚刚的 shadow 文件，给定了 $5$ 个用户的密码 hash 值，复制出来用 john 爆破

  

  

• 后门文件分析

  直接去看刚刚 github 的后门文件的源码

  

  看到了 hash

  搜索 salt ，看到这两个函数存在 salt 参数

  

  再去看这两个函数

  找到

  

  1c362db832f3f864c8c2fe05f2002a05

  回去看 tcp 流，-a 参数后面就是攻击者使用的 hash

  

  hash-identifier 看一眼类型，是 SHA512

  

  到hashcat看一眼哈希模式

  

  搜到模式 1710 的格式为 hash:salt

  

  用 hashcat 爆一下：hashcat -m 1710 pass.txt /usr/share/wordlists/rockyou.txt

  得到密码 november16

  

• 扫描打点

  

  仿照流量中的登录 james 账号试试：

  20 端口登不上去， 2222 显示这个：

  

  查到是因为 openssh 觉得 ssh-rsa 加密不安全，解决方式是手动加参数 -oHostKeyAlgorithms=+ssh-rsa

  

  这里登陆密码就是上面的 november16

• 提权

  去 james 目录下找到 user.txt ，同时看到留下的隐藏提权脚本 .suid_bash

  

  这个其实就是 bash 文件的副本，用 -p 运行就直接提权了