CTF Brooklyn Nine-Nine. Эскалация привилегий (TryHackMe)

Rook

Codeby Team
Red Team
09.01.2019
727
719
BIT
4
image.jpg


Brooklyn Nine-Nine


Всем привет! Смотрел разные CTF'ки на THM и наткнулся на Brooklyn Nine-Nine. А так как я смотрел этот сериал и он мне очень понравился, не смог пройти мимо и зашел посмотреть. Кстати сериал рекомендую.
Не буду долго писать предисловие, так что погнали.

Видео-формат на Youtube :

После того как подключились по впн и дождались прогрузки машины, переходим по адресу и нас встречает такой вот сайт

Image147.png


Побродив по сайту, толком ничего не нашел, кроме упоминания про стеганографию в комментарии исходной страницы сайта. Это кстати одно из решений данной CTF. Но о нем чуть позже. Поиски dirb'ом так же ничего не дали, поэтому я не буду показывать скриншоты "ни с чем".

Как-раз в это же время я решил изучить утилиту Sparta, которая совмещает в себе много других полезных утилит. Указал ей IP адрес машины и начал сканить. Скан мне выдал, что тут есть SSH сервер, FTP сервер и Апач. Но спарта, сразу пробилась в фтп сервер анонимом.

Image152.png


Сразу же пошел смотреть что там интересного у нас лежит

Image153.png


А там у нас записка от Эми Сантьяго, о том что дубина Джейк сделал легкий пароль и она просит его поменять, ведь капитан Холт будет зол, если участок кто-нибудь взломает.

ab798049f6443044c14b9df328397150.jpg


По сутиб у нас уже есть два потенциальных юзернейма - Amy и Jake. Но поскольку просят Джейка сменить хреновый пароль - брутить будем его. А исходя из того, что до этого я не находил админку, нам остается SSH сервер. В спарте так же прикрученная гидра, которую мы и будем использовать для брута SSH.

Указываем юзернейм jake, задаем словарь и погнали

Image154.png


А вот и найден тот самый слабый пароль 987654321. Поэтому хватаем его и вламываемся в SSH.

ssh jake@host-ip-adress

Успешно зашли с найденным паролям и смотрим что у нас в директориях.

В директории Джейка пусто, выходим из нее и видим что есть еще Эми и Холт. В директории Эми так же пусто, а вот у Холта находим первый флаг user.txt

Image155.png


Так как у нас еще нет прав root'а, посмотрим какие программы могут пользоваться sudo.
sudo -l

Нам показывает что есть /usr/bin/less
Взяв хинты с , юзаем такой код less /etc/profile
А в открывшемся после этой команды скрипте, дописываем /bin/sh и жмем ENTER.

Image156.png


Image157.png


Мы успешно получили root'а и прочитали второй флаг к таску.

Но есть еще вариант! Помните, вначале я говорил про стеганографию ? Так вот, в исходном коде страницы, скачиваем картинку brooklyn99.jpg и брутим ее с помощью stegcracker
stegcracker ПУТЬ_К_ФАЙЛУ ПУТЬ_К_СЛОВАРЮ

Успешно сбрутив, получаем пароль от учетки SSH - Holt

Image159.png


Теперь уже точно так же проверяем sudo -l Только в этом случае у нас отображают /bin/nano

Идем снова на , ищем нано, находим и пишем. sudo nano -s /bin/sh В появившемся нано пишем - /bin/sh и нажимаем CTRL+T

Все, мы снова получили root права и можем прочитать флаг

Image160.png


И на этом все! Спасибо всем тем кто прочитал и удачного вам дня :) И всех с наступающим
 
Последнее редактирование:
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!