TryHackMe-Boiler-CTF

在线靶机

一个不算难，但是很绕的靶机。

信息收集

nmap 扫描结果

• 21:ftp
• 80:http apache
• 10000:http webmin
• 55007:ssh

10000端口的webmin版本是1.930好像没有exploit可以利用。

发现有ftp服务，尝试用匿名用户登录成功，不过里面只有一个文件

解密后发现，这是段没什么用的信息。。

我当然知道枚举是关键啊！岂可修

路径探测

joomla版本探测

joomla路径探测

可以看到有五个结果是很奇怪的，我们可以去访问看看。

~www

_files

两次base64解密后内容为Whopsie daisy

_archive

_database

key=24 just messing around.

_test

漏洞利用

就test的十分特别。。是个什么sar2html。不知道是什么东西，先谷歌一波。

看起来突破点，就是在这里了。居然有远程代码执行的漏洞。根据expdb给出的payload就是以下内容
http://10.10.221.147/joomla/_test/index.php?plot=LINUX;<command>
执行之后选择主机下拉就能看到命令的输出了。

这里我尝试了直接wget一句话但是不成功，尝试能用echo输出生成文件后，试着直接写shell。

执行好之后，ls看看有没有生成。

看起来是成功了，访问1.php也有phpinfo的信息，可以尝试蚁剑连上去了。连上去后，到处随便看看，结果在_test的目录下的log.txt就看到了一个密码。。根据日志，看起来就是basterd用户的帐号密码。。所以其实可以不用写shell的。

提权

直接ssh连接上去后，basterd的家目录下就有一个backup.sh的文件，不得了不得了。直接把另外一个用户的密码都给出来了

切换到stoner用户后，就可以拿到第一个flag了。flag就是.secret文件的内容。

说实话，我完全不知道这是什么东西。先搜索下suid位文件吧。

喔喔，有个find。那就好办了

exploit

find . -exec /bin/sh -p \;

总结

就如开头ftp找到的文件所说的一样，枚举是关键。