【HTB系列】靶機Irked的滲透測試詳解

出品｜MS08067實驗室（www.ms08067.com)

本文作者：大方子（Ms08067實驗室核心成員）

Kali: 10.10.13.32
靶機地址：10.10.10.117

先用nmap掃描下靶機

靶機開放了 22 80 111 埠

檢視下靶機的80埠

我們用gobuster對網站的目錄也進行一次爆破

訪問下/manual，得到apache的文件頁面沒有可以利用的點

然後我們在根據頁面上的顯示”IRC is almost working!”

IRC（Internet Relay Chat的縮寫，“因特網中繼聊天”）是一種透過網路的即時聊天方式。其主要用於群體聊天，但同樣也可以用於個人對個人的聊天。IRC使用的伺服器埠有6667（明文傳輸，如irc://irc.freenode.net）、6697（SSL加密傳輸，如ircs://irc.freenode.net:6697）等

我們可以看到IRC監聽的埠為6697和6667，那麼說明我們的nmap探測是不完全的。所以我們對靶機的埠做一次全埠探測

這裡我們看到6697埠是開放，這裡我對6697進一步進行探測

我們搜尋下是否存在相關的EXP

我們嘗試用第一個 後門命令執行

得到shell之後利用python建立一個pty

然後我們通過find搜尋下user.txt

我們進入/home/djmardov/Documents目錄，發現User.txt不能讀取，但是還有一個.backup的檔案，我們讀取下

它給了我們關於steg[Steganography]的提示，然後我們得到了類似密碼的字串：
UPupDOWNdownLRlrBAbaSSss

關於隱寫術的工具資源:
https://0xrick.github.io/lists/stego/

我們之前在網頁上看到一個表情，我們把那個表情圖片下載回來看看裡面是否藏著什麼東西
我們用steghide --info來查下圖片的是否包含隱藏資料，其中需要你輸入剛剛得到的那串密碼。

然後我們提取資料

得到密碼：Kab6h+m+bbp2J:HG

那我們嘗試登陸SSH，拿到FLAG

接下來就是提升ROOT的許可權

這裡我用LinEnum來檢查靶機是否有可以用來提權的點

LinEnum：https://github.com/rebootuser/LinEnum

然後自己的Kali 用 python -m SimpleHTTPServer 開啟HTTP服務

然後在靶機上的/dev/shm用wget下載

然後 bash LinEnum.sh 執行指令碼

在SUID檔案中我們發現這個檔案的日期是在2018.5.16完成的跟其他檔案有所不同它是最新生產的，我們去看看這個檔案

這個檔案似乎記錄這訪問過這個系統的使用者，我們看到最後一行，這個程式在呼叫者/tmp/listusers這個檔案

我們先把這個檔案複製我們的kali中去除錯它
先用把這個二進位制檔案用base64進行轉換，-w0表示不換行輸出

base64 -w0 /usr/bin/viewuser

然後將出現的一大堆資料進行復制
然後我們在自己的kali 建立一個名為userview.b64的檔案並把剛剛得到的一大堆資料複製到裡面去

然後我們在把檔案解碼輸出為一個二進位制檔案

base64 -d viewuser.b64 > viewuser

然後我們用lstrace 對這個檔案進行除錯

ltrace能夠跟蹤程式的庫函式呼叫,它會顯現出哪個庫函式被呼叫

如果自己的kali沒有的話就apt-get install -y ltrace 安裝下

我們可以看到這個二進位制檔案到最後會呼叫/tmp/listusers這個檔案。
因為這個vieruser是root許可權呼叫的，那麼被呼叫的/tmp/listusers也將會root許可權

那麼我們直接編寫個/tmp/listusers檔案，同時要給它chmod +x

因為那個vieruser是監控線上登陸的使用者的，所以它是不會不斷的執行，你可以看到當我們寫好這個檔案並賦予執行許可權的時候 它的擁有者變成了root

然後我們得到root flag

*後記，後來我發現我之前就變成了root的許可權是因為之前別人做完了實驗然沒清理我執行了別人的listusers，所以我就被root了，但是get root的思路就是如上

這裡我重新做了一次實驗，現在是我剛寫完listusers檔案並加上執行許可權

然後我執行viewusers，這裡我們可以看到它呼叫了我們寫的指令碼然後我們得到了root shell

 
 
 

轉載請聯絡作者並註明出處！

Ms08067安全實驗室專注於網路安全知識的普及和培訓。團隊已出版《Web安全攻防：滲透測試實戰指南》，《內網安全攻防：滲透測試實戰指南》，《Python安全攻防：滲透測試實戰指南》，《Java程式碼安全審計（入門篇）》等書籍。
團隊公眾號定期分享關於CTF靶場、內網滲透、APT方面技術乾貨，從零開始、以實戰落地為主，致力於做一個實用的乾貨分享型公眾號。
官方網站：https://www.ms08067.com/

掃描下方二維碼加入實驗室VIP社群
加入後邀請加入內部VIP群，內部微信群永久有效！