TryHackMe-Boiler-CTF
一个不算难,但是很绕的靶机。
信息收集
nmap 扫描结果
- 21:ftp
- 80:http apache
- 10000:http webmin
- 55007:ssh
10000端口的webmin版本是1.930好像没有exploit可以利用。
发现有ftp服务,尝试用匿名用户登录成功,不过里面只有一个文件
解密后发现,这是段没什么用的信息。。
我当然知道枚举是关键啊!岂可修
路径探测
joomla版本探测
joomla路径探测
可以看到有五个结果是很奇怪的,我们可以去访问看看。
~www
_files
两次base64解密后内容为Whopsie daisy
_archive
_database
key=24 just messing around.
_test
漏洞利用
就test的十分特别。。是个什么sar2html。不知道是什么东西,先谷歌一波。
看起来突破点,就是在这里了。居然有远程代码执行的漏洞。根据expdb给出的payload就是以下内容http://10.10.221.147/joomla/_test/index.php?plot=LINUX;<command>
执行之后选择主机下拉就能看到命令的输出了。
这里我尝试了直接wget一句话但是不成功,尝试能用echo输出生成文件后,试着直接写shell。
执行好之后,ls看看有没有生成。
看起来是成功了,访问1.php也有phpinfo的信息,可以尝试蚁剑连上去了。连上去后,到处随便看看,结果在_test的目录下的log.txt就看到了一个密码。。根据日志,看起来就是basterd用户的帐号密码。。所以其实可以不用写shell的。
提权
直接ssh连接上去后,basterd的家目录下就有一个backup.sh的文件,不得了不得了。直接把另外一个用户的密码都给出来了
切换到stoner用户后,就可以拿到第一个flag了。flag就是.secret文件的内容。
说实话,我完全不知道这是什么东西。先搜索下suid位文件吧。
喔喔,有个find。那就好办了
1 | find . -exec /bin/sh -p \; |
总结
就如开头ftp找到的文件所说的一样,枚举是关键。