noone___'s blog
0%

THM打靶日寄24-Different CTF

发表于 更新于 分类于
“所看见的并非如此”,我的评价是这靶机出的有点刻晴了

  • 扫描打点

    • 80

      进去发现好多元素没加载,F12 看一下,顺手加到 /etc/hosts

      进去看一下是个 wordpress ,顺手再扫一下目录

      看了一圈没什么东西,但他提示有隐藏目录

      换一个词典:

      1
      gobuster dir -u http://10.10.63.60 -w /usr/share/wordlists/SecLists/Discovery/Web-Content/directory-list-2.3-big.txt

      草,那个b图是个蚂蚁特写西八,不喜欢昆虫的建议别点开

      wordlist 里是个字典,但没有用户名,那个图片也不知道能干什么

      偷看 wp ,这个真没见过,是用 stegseek 加上字典来爆图片的信息

      解出来 base64:

      1
      2
      3
      FTP-LOGIN
      USER: hakanftp
      PASS: 123adanacrack

  • ftp

    直接传反弹 shell ,发现传上去访问不到:

    ftp 里面翻翻别的

    比较重要的是 wp-config.php ,下下来看一眼找到 phpadmin 的账密: phpmyadmin:12345

    /phpadmin 里面登陆一下:

    发现这两个几乎一样:

    拿到子域名 subdomain.adana.thm

    由于两个 phpmyadmin 的配置和网页都相同,合理怀疑我的反弹 shell 传到 subdomain 的那里了:

    注意这里需要在 ftpchmod 777 反弹shell ,否则无法执行

  • 抽象横向

    这是这个房间最烂的一点:没有任何提示的密码爆破

    /home 不难看出要横向到 hakanbey 用户,但该用户目录无法访问

    sudo -l 需要输密码,计划任务没什么东西

    根据 wp ,要引入一个 sucrack 工具?,原因是之前在房间的标签里出现过?以及之前用过的密码本?

    用该工具配合密码本来爆破用户密码,但还要将密码本每条密码前加上 123adana ,原因是之前有个密码长这样?

    或许是我思路有点狭隘了,但这几步操作确实看不出有什么根据

    过程全略,爆破出来 hakanbey:123adanasubaru

  • ctf提权

    1
    find / -type f -a \( -perm -u+s -o -perm -g+s \) -exec ls -l {} \; 2> /dev/null

    看到 pkexec

    看到 binaryroot 权限

    ltrace 读一下字符串:

    拿到 root.jpg ,下下来看一眼

    因为他给了提示 HEX 00000020

    这时候大概率要用到提示里的 From Hex to Base85

    020 行的 fee99d3d79185ffc826ddf1c69acc275base85root 密码 Go0odJo0BbBro0o