用户
搜索
  • TA的每日心情
    擦汗
    2021-4-12 08:23
  • 签到天数: 142 天

    连续签到: 5 天

    [LV.7]常住居民III

    i春秋-核心白帽

    Rank: 4

    65

    主题

    89

    帖子

    3116

    魔法币
    收听
    0
    粉丝
    10
    注册时间
    2020-7-23
    发表于 2021-4-8 19:47:01 15749
    0x00:靶机介绍这次的靶机是Irked,难度还行。总结就是脚本getshell, 从图片提取信息。最后脑筋急转弯提权。最近作业多被JAVA折磨死了。
                                  
    0.png

    0x01:信息收集
    还是像往常一样python autorecon.py起手,这次开的端口比较多22,80,111 还有6697 8067这类的Unreal IRC服务
    1.png

    访问一波80端口有张图片旁边还提示IRCis almost working
    2.png


    这里为了深入一波看看IRC是什么鬼用nmap探测了一波顺便得到了版本为Unreal3.2.8.1
    3.png

    这里去exploitdb可以找到相关payload但是MSF的payload运行不了裂开。
    4.png

    0x02:利用payload getshell
    虽然MSF的不行但我们可以去github上找找其他大佬的payload
    5.png

    使用方法比较简单直接-t 指定IP -p指定这个IRC端口 记得提权开启nc(如果失败建议重启靶机)
    6.png

    Nc这边也收到shell了。
    7.png

    0x03:获取信息切换用户
    这里直接去到/home/djmardov/Documents 想获得flag结果发现权限不过在ls的时候发现一个.backup东西
    8.png

    尝试cat 以下发现一个可能是账号的东西。然而大E了。
    9.png

    0x04:利用工具获取图片信息
    这里把80端口的那张图片下载到本地的时候strings发现居然多出两行奇怪的东西出来,正常都是几行字符就换行了,有猫腻。
    10.png

    这里推荐使用另外一款工具Steghide。
    11.png
    使用方法也比较简单指定输入的文件然后来个-p 把刚才cat的.backup字符串放上去就可了(--extract提取数据 -sf 输入的文件 -p 钥匙密码也可加载万能的/usr/share/wordlists/rockyou.txt 进行破解)输入以后得到一个新的文件pass.txt
    12.png

    成功切换用户得到user flag。
    13.png

    0x05:提权
    这次使用find找特殊权限找到一个viewuser
    14.png

    运行以下会似乎会查看当前用户的状态
    15.png

    拷贝到本地会显示目前用户的状态。
    16.png

    问了以下大佬解题方法在/tmp/listusers这里可以尝试把/bin/sh给加进去然后给权限运行。既然找不到就人工添加一个。由于我们作为普通用户也可以root身份执行这个程序那么我们就反弹回一个root shell回来 最后提权成功
    17.png

    公众号:神隐(咸鱼)攻防实验室希望各位大佬能关注一波
    发表于 2021-4-9 11:11:40
    白阁文库:https://wiki.bylibrary.cn
    公众号:白泽Sec
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册