0%

TryHackMe-Boiler-CTF

在线靶机

一个不算难,但是很绕的靶机。

信息收集

nmap 扫描结果

  • 21:ftp
  • 80:http apache
  • 10000:http webmin
  • 55007:ssh

10000端口的webmin版本是1.930好像没有exploit可以利用。

发现有ftp服务,尝试用匿名用户登录成功,不过里面只有一个文件

解密后发现,这是段没什么用的信息。。

我当然知道枚举是关键啊!岂可修

路径探测

joomla版本探测

joomla路径探测

可以看到有五个结果是很奇怪的,我们可以去访问看看。

~www

_files

两次base64解密后内容为Whopsie daisy

_archive

_database

key=24 just messing around.

_test

漏洞利用

就test的十分特别。。是个什么sar2html。不知道是什么东西,先谷歌一波。

看起来突破点,就是在这里了。居然有远程代码执行的漏洞。根据expdb给出的payload就是以下内容
http://10.10.221.147/joomla/_test/index.php?plot=LINUX;<command>
执行之后选择主机下拉就能看到命令的输出了。

这里我尝试了直接wget一句话但是不成功,尝试能用echo输出生成文件后,试着直接写shell。

执行好之后,ls看看有没有生成。

看起来是成功了,访问1.php也有phpinfo的信息,可以尝试蚁剑连上去了。连上去后,到处随便看看,结果在_test的目录下的log.txt就看到了一个密码。。根据日志,看起来就是basterd用户的帐号密码。。所以其实可以不用写shell的。

提权

直接ssh连接上去后,basterd的家目录下就有一个backup.sh的文件,不得了不得了。直接把另外一个用户的密码都给出来了

切换到stoner用户后,就可以拿到第一个flag了。flag就是.secret文件的内容。

说实话,我完全不知道这是什么东西。先搜索下suid位文件吧。

喔喔,有个find。那就好办了

exploit
1
find . -exec /bin/sh -p \;

总结

就如开头ftp找到的文件所说的一样,枚举是关键。