TryHackMe Simple-CTF

Nmap

Primeramente empezamos escaneando los puertos abiertos usando Nmap.

# Nmap 7.93 scan initiated Tue Sep 26 17:46:24 2023 as: nmap -sCV -p21,80,2222 -oN target.txt 10.10.56.252
Nmap scan report for 10.10.56.252
Host is up (0.062s latency).

PORT     STATE SERVICE VERSION
21/tcp   open  ftp     vsftpd 3.0.3
| ftp-anon: Anonymous FTP login allowed (FTP code 230)
|_Can't get directory listing: TIMEOUT
| ftp-syst: 
|   STAT: 
| FTP server status:
|      Connected to ::ffff:10.8.104.25
|      Logged in as ftp
|      TYPE: ASCII
|      No session bandwidth limit
|      Session timeout in seconds is 300
|      Control connection is plain text
|      Data connections will be plain text
|      At session startup, client count was 2
|      vsFTPd 3.0.3 - secure, fast, stable
|_End of status
80/tcp   open  http    Apache httpd 2.4.18 ((Ubuntu))
|_http-server-header: Apache/2.4.18 (Ubuntu)
|_http-title: Apache2 Ubuntu Default Page: It works
| http-robots.txt: 2 disallowed entries 
|_/ /openemr-5_0_1_3 
2222/tcp open  ssh     OpenSSH 7.2p2 Ubuntu 4ubuntu2.8 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   2048 294269149ecad917988c27723acda923 (RSA)
|   256 9bd165075108006198de95ed3ae3811c (ECDSA)
|_  256 12651b61cf4de575fef4e8d46e102af6 (ED25519)
Service Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Tue Sep 26 17:47:02 2023 -- 1 IP address (1 host up) scanned in 38.18 seconds

Ahora observamos los servicios y versiones que corren para cada puerto que en este caso son tres.

WFUZZ

Ahora empezamos haciendo fuzzing al puerto 80 utilizando WFUZZ y observamos dos directorios uno robots.txt y simple.
En robots.txt no hay mucho un nombre de usuario llamado mike. Es informacion y hay que tenerla en cuenta.

El directorio /simple nos lleva aca.

Whatweb

Si usamos whatweb para ver que tecnologias corren, observamos un CMS osea un gestor de contenido llamado Made-Simple de version 2.2.8

Haciendo uso de Searchsploit buscamos haber si encontramos algo, observamos que encontramos un SQL Injection un script en python.
Te dejo el enlace al script, se ejecuta con python2. https://www.exploit-db.com/exploits/46635

Observando el codigo fuente de la pagina encontramos otro usuario llamado mitch que usando el script de python damos que este usuario usamos para conectarnos por ssh.
Dato, siempre hay que ser curioso y si en la pagina principal no observas nada, el codigo fuente este tu mejor opcion, filtra en el buscador por [ID,USER,USERS,Posted,] aveces puedes encontrar cosas que en la web principal no se observa.

SSH

Ya con dos usuarios y un pass en mano, nos conectamos por ssh usando el usuario mitch y la contraseña secret.

Ahora ya dentro y con una TTY totalmente funcional vamos por nuestra primera flag user.txt.
Ahora nos queda buscar la de root.txt

Escalada de privilegios

Buscando la forma de escalar privilegios observamos que mitch puede ejecutar vim sin proporcionar contraseña.
Si nos vamos a https://gtfobins.github.io/ y buscamos vim hay una forma de ser root que es lo que hago ejecutar vim invocando una bin/sh.
Ya dentro de vim, si pongo id observamos que soy root ahora solo queda ir por nuestra flag de root.txt.
Y es lo que hacemos en el paso dos ir por la ultima flag y maquina resuelta

AnteriorTryHackMe Basic Pentesting SiguienteTryHackMe Vulnversity

Última actualización hace 2 años