[PGPractice] ExGhost 靶機 Write-up
2024, Jun 20
本系列為 Proving Grounds Play Subscription 靶機
官方難易度 : Easy
社群評論難易度 : Hard
解題花費時間 : < 120 min
知識點 : CVE-2021-22204, CVE-2021-4034
Port Scan
Port Scan
發現 21,80
已知資訊, vsftpd 3.0.3, Apache httpd 2.4.41
80 Port
無發現 /cgi-bin/ 排除 CVE-2021-41773 目錄穿越
Dirb 發現 uploads
dirsearch
/usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt
依然無結果
嘗試暴力破解 發現 FTP 中有成功爆出使用者
字典檔 /usr/share/wordlists/legion/ftp-betterdefaultpasslist.txt
遇到出現
229 Entering Extended Passive Mode ( | 6554 | ) |
爬文後 輸入 epsv4 off , 再次出現 則輸入 passive
發現 backup 資料夾 使用 get 下載
解析檔案發現為 pcap 封包檔案
使用wireshark 將封包載入,查看 80 port 發現有個 exiftest.php
顯示沒發現檔案上傳
回想一開始的目錄爆破,解出了uploads ,這應該是上傳點
封包中 翻到路徑 更加確定是從這邊上傳,
查看 http Header
發現Content-Type : Multipart/form-data;
建立一個上傳 html 上傳圖片顯示
上傳 revshell
最終 參考exiftool writeup 發現 封包那張圖已經顯示 exiftool 12.23
版本 找尋版本漏洞即可入侵
使用exp 將revshell 寫入 圖片,再進行上傳
提權
sudo -l
find / -perm -4000 2>/dev/null
折騰了許久 參考了Write up 發現檔案就在眼前
利用 CVE-2021-4034 進行提權,環境限制避免找.c檔案 因無法編譯