【HTB系列】靶機Irked的滲透測試詳解

出品｜MS08067實驗室（www.ms08067.com)

本文做者：大方子（Ms08067實驗室核心成員）

Kali: 10.10.13.32
靶機地址：10.10.10.117

先用nmap掃描下靶機

靶機開放了 22 80 111 端口

查看下靶機的80端口

咱們用gobuster對網站的目錄也進行一次爆破

訪問下/manual，獲得apache的文檔頁面沒有能夠利用的點

而後咱們在根據頁面上的顯示」IRC is almost working!」

IRC（Internet Relay Chat的縮寫，「因特網中繼聊天」）是一種透過網絡的即時聊天方式。其主要用於羣體聊天，但一樣也能夠用於我的對我的的聊天。IRC使用的服務器端口有6667（明文傳輸，如irc://irc.freenode.net）、6697（SSL加密傳輸，如ircs://irc.freenode.net:6697）等

咱們能夠看到IRC監聽的端口爲6697和6667，那麼說明咱們的nmap探測是不徹底的。因此咱們對靶機的端口作一次全端口探測

這裏咱們看到6697端口是開放，這裏我對6697進一步進行探測

咱們搜索下是否存在相關的EXP

咱們嘗試用第一個 後門命令執行

獲得shell以後利用python創建一個pty

而後咱們經過find搜索下user.txt

咱們進入/home/djmardov/Documents目錄，發現User.txt不能讀取，可是還有一個.backup的文件，咱們讀取下

它給了咱們關於steg[Steganography]的提示，而後咱們獲得了相似密碼的字符串：
UPupDOWNdownLRlrBAbaSSss

關於隱寫術的工具資源:
https://0xrick.github.io/lists/stego/

咱們以前在網頁上看到一個表情，咱們把那個表情圖片下載回來看看裏面是否藏着什麼東西
咱們用steghide --info來查下圖片的是否包含隱藏數據，其中須要你輸入剛剛獲得的那串密碼。

而後咱們提取數據

獲得密碼：Kab6h+m+bbp2J:HG

那咱們嘗試登錄SSH，拿到FLAG

接下來就是提高ROOT的權限

這裏我用LinEnum來檢查靶機是否有能夠用來提權的點

LinEnum：https://github.com/rebootuser/LinEnum

而後本身的Kali 用 python -m SimpleHTTPServer 開啓HTTP服務

而後在靶機上的/dev/shm用wget下載

而後 bash LinEnum.sh 執行腳本

在SUID文件中咱們發現這個文件的日期是在2018.5.16完成的跟其餘文件有所不一樣它是最新生產的，咱們去看看這個文件

這個文件彷佛記錄這訪問過這個系統的用戶，咱們看到最後一行，這個程序在調用者/tmp/listusers這個文件

咱們先把這個文件複製咱們的kali中去調試它
先用把這個二進制文件用base64進行轉換，-w0表示不換行輸出

base64 -w0 /usr/bin/viewuser

而後將出現的一大堆數據進行復制
而後咱們在本身的kali 建立一個名爲userview.b64的文件並把剛剛獲得的一大堆數據複製到裏面去

而後咱們在把文件解碼輸出爲一個二進制文件

base64 -d viewuser.b64 > viewuser

而後咱們用lstrace 對這個文件進行調試

ltrace可以跟蹤進程的庫函數調用,它會顯現出哪一個庫函數被調用

若是本身的kali沒有的話就apt-get install -y ltrace 安裝下

咱們能夠看到這個二進制文件到最後會調用/tmp/listusers這個文件。
由於這個vieruser是root權限調用的，那麼被調用的/tmp/listusers也將會root權限

那麼咱們直接編寫個/tmp/listusers文件，同時要給它chmod +x

由於那個vieruser是監控在線登錄的用戶的，因此它是不會不斷的執行，你能夠看到當咱們寫好這個文件並賦予執行權限的時候 它的擁有者變成了root

而後咱們獲得root flag

*後記，後來我發現我以前就變成了root的權限是由於以前別人作完了實驗然沒清理我執行了別人的listusers，因此我就被root了，可是get root的思路就是如上

這裏我從新作了一次實驗，如今是我剛寫完listusers文件並加上執行權限

而後我運行viewusers，這裏咱們能夠看到它調用了咱們寫的腳本而後咱們獲得了root shell

 
 
 

轉載請聯繫做者並註明出處！

Ms08067安全實驗室專一於網絡安全知識的普及和培訓。團隊已出版《Web安全攻防：滲透測試實戰指南》，《內網安全攻防：滲透測試實戰指南》，《Python安全攻防：滲透測試實戰指南》，《Java代碼安全審計（入門篇）》等書籍。
團隊公衆號按期分享關於CTF靶場、內網滲透、APT方面技術乾貨，從零開始、以實戰落地爲主，致力於作一個實用的乾貨分享型公衆號。
官方網站：https://www.ms08067.com/

掃描下方二維碼加入實驗室VIP社區
加入後邀請加入內部VIP羣，內部微信羣永久有效！