Irked-HTB靶机渗透

前言

知识点:

  1. SUID提权
  2. IRC使用
  3. steghide隐写工具

user

首先扫描端口,发现开放80端口和6697IRC服务。注意:这里使用nmap常规扫描不太能扫出IRC端口
nmap

访问web页面发现提示”IRC is almost working!”
irked

尝试连接IRC服务器,希望能获得一些有用的信息

  1. 使用irssi命令行工具
1
2
3
4
$ apt-get install irssi
$ irssi
/connect [server] [port]
/quit
  1. 使用hexchat
1
$ apt-get install hexchat

登录后得到版本信息Unreal3.2.8.1
hexchat

搜索一下有无可用的exp,还真有一个backdoor的命令执行
msfirc

设置好参数后,run,获得shell。注意这里的payload设置,比较玄学,需要多次尝试
msfirc1

获得交互式shell

1
python -c 'import pty;pty.spawn("/bin/bash")'

存在另一个用户

1
2
3
ircd@irked:/home$ ls
ls
djmardov ircd

在另一个用户目录/home/djmardov/Documents下找到user.txt,但是权限设置ircd用户无法打开,同时发现另一个有趣的文件。
user
backup
提示用steghide恢复backup文件,下载steghide工具,那么隐写的文件在哪呢?当然是主页的那张图片啦。

恢复命令

1
$ steghide extract -sf irked.jpg

得到密码。
steghide

尝试切换用户,成功。拿到user.txt不在话下

root

接下来尝试提权,在我有限的提权经历中,成本最低的应该是SUID提权。之前有写过SUID提权的相关文章,没想到这么快就用到了。

首先查找具有root权限的可执行文件

1
$ find / -user root -perm -4000 -print 2>/dev/null

有一个奇怪的viewuser
suid

使用strings命令试图找出一些明文信息

1
$ strings /usr/bin/viewuser

suid1

发现/tmp/listusers字样,猜测需要调用该文件

cat /tmp/listusers发现并没有什么,那么直接动手
root

我特地测试了多遍,以普通用户执行usr/bin/viewuser,仅仅列出了当前的用户。但是当我把/bin/bash写入/tmp/listusers后,再执行/usr/bin/viewuser,可以看到成功提升至root权限。

因为一台靶机会有很多人同时打,所以我又检测了一遍。将之前写的/bin/bash删了,再执行/usr/bin/viewuser,发现无法提权。感觉之前的SUID提权应该是成功了。嘻嘻
root1

参考:
https://kuibarj.top/
https://www.cnblogs.com/fzzl/archive/2011/12/26/2302637.html