TryHackMe-Madness

在线靶机链接

一个很坑的靶机

信息收集

nmap扫描

路径探测不出来什么东西，就不放出来了。

访问网站后，会发现左上角没有找到的图片很显眼。

将图片下载下来后，查看文件头是Png的文件头，手动修复成JFIF文件头就好了

查看修复好的图片，会给出一个隐藏的路径，十分的复杂，怪不得扫不出来。

访问后的网站首页为

右键查看源代码后会发现给出了密码的范围提示0-99

但是不知道要怎么传值，直接试试get型传值，?secret=1刷新后，发现页面密码值更改了。接下来就可以用bp的爆破模块来得到一个密码值。

用这个得到的密码，提取thm.jpg的隐藏文件。

得到了一个’用户名’，不过要rot13处理才能得到真正的用户名。现在我们有了用户名，但是没有密码。这里我被卡住了很久，没想到作者把图片隐藏在这里。

提取之后，也是一个文本内容。

之后用真正的用户名和密码ssh连接上去就好了。这个用户没有sudo权限，所以先搜索suid位文件

提权

当我看到screen-4.5.0的时候就知道稳了。exploit
下载exp到目标机器，运行就直接getshell了。

总结

知道了screnn4.5的漏洞利用，如果screen是能sudo执行的话，就直接

sudo screen

就可以拿shell，但是如果是suid位文件的话，就不能这么利用了。

参考

• GNU Screen 4.5.0 - Local Privilege Escalation
• gtfobins-screen