Tre — PG Play 渗透测试报告

作者：Kavin Jindal (@Klevr)

Tre实验室在PG Play平台

这是对Offensive Security的PG Play平台上中级实验室Tre的详细渗透测试报告。

首先通过NMAP对目标进行TCP扫描。

开放了22、80和8082端口。我检查了80端口的网页，发现了以下图像。

检查8082端口的目标，发现了相同的网页。

下一步是使用Gobuster进行目录暴力破解。

这个过程虽然简单但相当耗时，因为我使用的单词列表没有包含所需的子目录关键词。我不得不参考其他报告，然后使用了不同的单词列表。

我找到了一个/cmd子目录，访问它返回了以下网站。

我枚举了该网站但没有找到有用的信息。后来，在更换单词列表后，我使用以下命令再次运行目录扫描。

1

gobuster dir -u /usr/share/wordlists/dirb/big.txt -w 192.168.197.84

在所有找到的子目录中，只有两个看起来有用。

我访问了adminer.php并发现了以下内容。

接下来，我访问了mantisbt目录，发现了以下登录页面。

显然，mantisbt指的是Mantis Bug Tracker，这是一个用PHP编写的错误跟踪工具。

我尝试使用默认的MantisBT凭据administrator:root登录，但没有成功。

接下来，我暴力破解了mantisbt目录内的目录，并找到了config。

这里a.txt相对于目录中的其他文件看起来有点异常。

打开文件后，我发现了以下数据库凭据。

太好了！我可以在adminer.php中使用这些凭据。最初，我也尝试使用这里的用户名和密码登录Mantis BT，但没有成功。

这里，我已登录到Adminer并可以看到上述界面。我浏览了长长的表列表，并查看了mantis_user_table内部的数据。

我尝试在Mantis登录中使用administrator和tre凭据，但都没有成功。

接下来，我尝试在SSH中使用这两个凭据，但也没有成功。

过了一会儿，我再次尝试登录SSH，但这次使用realname值作为密码。

我成功获得了目标上tre用户的SSH访问权限。我还在工作目录中找到了第一个flag。

接下来，我运行了sudo -l并发现了以下内容。

该文件实际上没有任何有用的内容，所有数据都被编码了。我使用strings shutdown查看数据，但没有找到任何我能理解的内容。

之后，我运行了pspy来检查目标上运行的进程。

一个名为check-system的文件在/usr/bin中每秒运行一次。这看起来很有趣。

我列出了文件内部的代码并得到了以下内容。

该文件还具有写权限。

我用chmod +s /bin/bash覆盖了该文件，这将给/bin/bash设置SUID粘滞位，因此我可以以root身份访问shell。

我运行了echo "chmod +x /bin/bash" > /usr/bin/check-system，然后使用sudo /sbin/shutdown -r now关闭系统。

系统重新启动后，我使用/bin/bash -p加上-p参数进入特权模式，立即获得了正确的root shell。

现在剩下的唯一步骤是从proof.txt获取root flag。

至此，我成功获得了该实验室的root权限。希望你觉得这份报告有用。不要忘记订阅Avyukt Security以获取更多关于网络安全的高质量内容。

快乐黑客！