本文是 i 春秋论坛作家「皮卡皮卡丘」表哥分享的技术文章,公众号旨在为大家提供更多的学习方法与技能技巧,文章仅供学习参考。
HTB是一个靶机平台,里面包含多种系统类型的靶机,并且很多靶机非常贴近实战情景,是一个学习渗透测试不错的靶场。
1、靶机介绍
这次的靶机是Irked,难度为中等级别。
2、信息收集
还是像往常一样python autorecon.py起手,这次开的端口比较多22,80,111 还有6697 8067这类的Unreal IRC服务。
访问一波80端口,有张图片旁边还提示IRCis almost working。
这里深入查看IRC,用nmap探测,得到了版本为Unreal3.2.8.1。
这里去exploitdb可以找到相关payload,但是MSF的payload运行不了。
3、利用payload getshell
虽然MSF的不行,但我们可以去github上找找其他大佬的payload。
使用方法比较简单,直接-t指定IP,-p指定这个IRC端口,记得提权开启nc(如果失败建议重启靶机)。
Nc这边也收到shell了。
4、获取信息切换用户
这里直接去到/home/djmardov/Documents,想获得flag结果发现权限不过,在ls时发现一个.backup。
尝试cat一下,发现可能是一个账号。
5、利用工具获取图片信息
这里把80端口的那张图片下载到本地,strings发现多出两行奇怪的代码,正常都是几行字符就换行了,有猫腻。
这里推荐使用另外一款工具Steghide。
使用方法也比较简单,输入指定的文件,然后来个-p,把刚才cat的.backup字符串放上去就可以。(--extract提取数据 -sf 输入的文件 -p 钥匙密码也可加载万能的
/usr/share/wordlists/rockyou.txt 进行破解)输入以后得到一个新的文件pass.txt。
成功切换用户得到user flag。
6、提权
这次使用find找特殊权限,找到一个viewuser。
运行一下会查看到当前用户的状态。
拷贝到本地会显示目前用户的状态。
解题方法在/tmp/listusers这里,可以尝试把/bin/sh给加进去,然后给权限运行。
既然找不到就人工添加一个,由于我们作为普通用户也可以root身份执行这个程序,那就反弹回一个root shell,最后提权成功。
以上为今天分享的内容,小伙伴们看懂了吗?
文章素材来源于i春秋社区
注:文章内容仅供学习交流使用,任何人不得将其用于非法用途,否则后果自行承担!
往期回顾
培训认证
END
i春秋官方公众号为大家提供
前沿的网络安全技术
简单易懂的实用工具
紧张刺激的安全竞赛
还有网络安全大讲堂
更多技能等你来解锁
点分享
点点赞
点在看
原文始发于微信公众号(i春秋):HTB靶场记录之Irked
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论