HTB_Linux_irked

简介
由于使用的是免费版的HTB靶机环境, 因此极卡, ssh连上时间不超过1分钟就断, 扫描速度更是不能快, 针对这种网络环境极差的目标, 考虑使用masscan调整速率快速扫描端口, 然后用nmap进行端口详情扫描. 该靶机让我认识到了irc这种古老、经典的历史产物.

靶机状态: 已完成

文章目录

  • ircd
  • steghide
  • suid

ircd

UnrealIRCd 使用masscan快速判断开放的端口并用nmap进行详细扫描, 发现运行的服务

1
2
3
$ masscan -p0-65535 --rate=2000 10.10.10.117
# 发现7个开放的tcp端口
$ nmap --script vuln -p22,80,65534,43465,8087,6697,111 -A 10.10.10.117

masscan_nmap_find_service

使用searchsploit搜索扫描出来的所有服务, 发现UnrealIRCd存在一个后门命令执行和远程命令下载、执行漏洞.

steghide

find_other_account_readable_file
shell 利用CVE-2010-2075获取shell, 搜索文件之后发现/home/djmardov/Documents/.backup文件, 拿到文件内密码后, 登陆ssh发现无法登陆。
steghide 之前在80端口找到图片irked.jpg, 于是尝试隐写wget 10.10.10.117/irked.jpg -O /tmp/irked.jpg;steghide extract -sf /tmp/irked.jpg, 将上一步的密码输入, 得到一个密码。
bash 利用密码进入djmardov账户, 开始提权.
login_djmardov

suid

suid 进入低权限账号之后, 先开始手工收集信息查找可提权内容, 包括: uname -asudo -lfind /root -prem -004 -type f 2>/dev/nullcrontab -lfind / -perm -4001 -type f 2>/dev/null等, 查找基本的内核、配置、文件、计划任务是否有可直接利用的点. 发现一处自定义的suid文件/usr/bin/viewuser, 开始找该文件的漏洞.
suid_file

运行/usr/bin/viewuser之后, 提示/tmp/listusers文件不存在, 因此猜测此文件可能被/usr/bin/viewuser程序读取或执行, 于是创建/tmp/listusers文件写入文本’owefsad’然后运行程序, 提示命令不存在, 于是得知此处是执行shell命令的文件, 在文件中写入修改root密码的shell命令极可提权

1
$ echo '(echo "owefsad123";sleep 1;echo "owefsad123")|passwd>/dev/null' > /tmp/listusers;chmod +x /tmp/listusers;/usr/bin/viewuser

root

flag

获取root权限后, 读取用户权限flag和root权限flag
flag_user
flag_root

owefsad wechat
进击的DevSecOps,持续分享SAST/IAST/RASP的技术原理及甲方落地实践。如果你对 SAST、IAST、RASP方向感兴趣,可以扫描下方二维码关注公众号,获得更及时的内容推送。
0%