noone___'s blog
0%

学长的任务罢了6-corrsion2

发表于 分类于
这个好麻烦啊,不看wp好像只会用look偷看👀👀

  • 扫描打点

    • 80

      只有默认界面,扫不出东西

    • 8080

      apache 9.0.41 没找到poc

      readme.txt 得到用户名 randy

      backup.zip 文件加密了,爆破出来:@administrator_hi5

      解压出来,在 tomcat-users.xml 文件中找到两个账号密码:

      admin:melehifokivai

      然后进 tomcat 后台,然后类似 Thales 那个靶机传 java shell 即可:

  • 水平越权

    可以找到另一个用户 jaye

    那大概率要考虑水平越权

    /home/randy 目录下能找到不少东西:

    • note.txt

      禁止在 randy 目录下增删文件了

    • user.txt

      可能是密码?

      阿西吧唐完了,这是第一个 flag

      ca73a018ae6908a7d0ea5d1c269ba4b6

    • randombase64.py

      不知道有什么用

      接下来考虑 jaye 用户:先检查是否有密码复用:

      jaye:melehifokivai 连上 ssh

  • 查看 SUID 命令提权

    jaye 用户禁止使用 sudo -l

    find / -perm -u=s -type f 2>/dev/null

    看到好几个比较奇怪的:

    位于家目录下奇怪的 look

    drippingblue 刚用过的 polkit

    • look

      看起来是可以用来偷看文件的👀

      查了下这个格式是这样的:

      然后简化一下:

      直接不提权拿flag(逃

    • polkit

      但可惜不是上次用过的 CVE-2021-3560

      搜出来应该使用 CVE-2021-4043:

      而靶机上不能使用 make 命令,所以本地编译好再传上去:

      …复现失败,有人库版本过低了,我不说是谁

  • 兜兜转转的 sudo -l 提权

    还有个抽象办法:前面提到过的 randombase64.py 也可以用来提权,在 randy 用户下使用 sudo -l 可以看到其有着 root 权限

    但运行 sudo -l 需要交互式 shell ,简单的 msf shell 无法满足其需求

    而使用 nc 接收到的反弹shell是 tomcat 权限而非 randy,所以需要其密码来连接

    回到前文的 look 命令,用这个读下来 etc/passwd ,可以通过长时间爆破得到 randy 的密码:07051986randy

    由于 randombase64 调用了 base64.py,那么在其中写入 shell 并执行即可:

    这里选择用 nano 来改,确实比 vi 好用(