扫描打点
不是这个公网ip是不是有问题啊nmap --min-rate 10000 -p-扫出来的结果比较奇怪:
一直到:
初步怀疑是扫描过快触发防御机制了
但我看别人这样也扫出来了即使用
| grep -v 'unknown'过滤掉未知的service,剩下的端口还有近千个然后如果慢扫的话要几个小时。。。
偷别人的结果:
然后扫下这几个:
拿到了网址
robyns-petshop.thm和他的一堆子域名,都顺手加到dns解析里面文件上传绕过拿
shellrobyns-petshop.thm在
contact页面找到员工邮箱staff@robyns-petshop.thm没有什么交互的地方,扫一下:
在
README.md找到CMS型号
但没有相关的漏洞
monitorr.robyns-petshop.thm
简单的仪表盘,没有什么东西,看源码可以看到来自于
https://github.com/Monitorr/Monitorr版本为
1.7.6搜到两个漏洞:
RCE试图丑陋的一把梭被逮捕了,是证书验证的问题
给出的解决方案是忽略证书,即在两处
request地方加上verify=false然后还是没有用:
加一下调试,发现被逮捕了:
去访问一下
/assets/php/upload.php看到cookie里有isHuman,给脚本也加上
然后又被逮捕了,显然不是过大导致的,那么就是被检测了,绕一下试试:
因为是检测的非图片格式,所以应该不是双写过滤,GIF文件前缀也写好了,先考虑是
php的黑名单:
看起来不是
访问
/assets/php可以看到是apache,用其解析漏洞试一下:发现不是:
偷看wp,发现是解析漏洞加上大小写,愤怒喵,看到别人的题解有参考这个 hacktrick
然后用
THM attackbox的公网ip上线:
拿到第一个:
linuxsuid提权sudo -l没有,计划任务没有,suid看一下有东西:
欸不对,不能用
sudo但是
pkexec还有一个知名漏洞CVE-2021-4034,可以用pwnkit直接提但是开
python的http.server一直连不上,还好靶机出网,直接从github下了:1
wget github.com/ly4k/PwnKit/raw/refs/heads/main/PwnKit
那个很突兀的是个
warning并不是报错,吓我一跳啊嗯拿下了
THM打靶日寄20-Year of the Jellyfish
- 本文链接: http://noone40404.github.io/2024/11/13/THM打靶日寄20:Year of the Jellyfish/
- 版权声明: 本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!