Advertisement

Responsive Advertisement

Psycho Break – Tryhackme

byBLOG LAB CTF July 10, 2021

 

This room is based on a video game called evil within. I am a huge fan of this game. So I decided to make a CTF on it. With my storyline :). Your job is to help Sebastian and his team of investigators to withstand the dangers that come ahead.

[Hints are provided as you progress through the challenge]

The VM might take up to 2-3 minutes to fully boot up.

Bước 1: Thu thập thông tin

Sử dụng công cụ nmap để dò quét thông tin cổng đang mở

1.PNG

Phát hiện cổng 80-http, 21-ftp, 22-ssh đang mở ngoài ra không còn nữa, bước tiếp theo đi khai thác từng cổng dịch vụ

Bước 2: Khai thác dịch vụ web

Mình vô web xem có gì, phòng này dựa vào tựa game kinh dị có thật, giống PUBG nhưng lại là The Evil Within nên challege này không dành cho bạn yếu tim đâu nhé 😈 😈 :mrgreen:

2.PNG

Theo như bài này thì mình tìm các khóa ở từng căn phòng bao gồm: Key to the looker room, Key to access the map, The Keeper Key

Vậy tìm key này ở đâu, dĩ nhiên là trên website này rồi, mình trang kiểm tra mã nguồn thấy gợi ý đến đường dẫn /sadistRooom

3.PNG

Mình tiến hành truy cập vào đó để lấy thông tin

Một cảnh tượng khá là bạo lực khi đây là căn phòng chặt thịt và treo gác bếp, khuyến nghị các ban yếu tim không nên làm theo

4.PNG

Mình để ý có một link và mình bấm vào minh thu được khóa Key to the looker room ở màn hình pop up

5.PNG

Xong bấm ok, một màn hình pop up khác hiện lên mình nhập key vừa thu được vào
6.PNG
Sau khi bấm ok, tớ tiếp tục đến với trang khác ở đây cho chúng ta một mã yêu cầu cần giải mã để có Key to access the map
7.PNG
Đoạn mã này giốn ROT13 nhưng thực chất không phải đâu nhé, mình đã xem xét danh mục mã hóa trên CyberChef và sau khi thử nhiều loại trong số chúng, mình đã tìm thấy Atbash Cipher. Đó là một mật mã thay thế đơn giản trong đó mỗi chữ cái trong bảng chữ cái được ánh xạ thành một chữ cái trong bảng chữ cái đảo ngược.
Vậy nên mình đã sử dụng tool online sau để giải mã: Atbash Cipher (online tool) | Boxentriq
8.PNG
Quay lại website mình bấm vào link sang trang nhập key
9.PNG
Sau đó enter nó đưa mình tới một danh sách room để lựa chọn
10.PNG
Phần này mình tìm key số 3 là The Keeper Key, mình bấm vào link số 3 Safe Heaven 
11.PNG
14.PNG
Một Y tá đang ngồi ghi chép gì đó, nhân vật chúng ta tỉnh dậy trong một căn phòng kỳ lạ. Mình kiểm tra mã nguồn web phát hiện một gợi ý, liệu bạn có thể tìm ra được bí ẩn ở đây hay không, công việc của mình là phải đi dò tìm đường dẫn khác nằm sau link Safe Heaven
13.PNG
Mình truy cập tiếp link thứ 4 The Abandoned Room đây là phòng nhập key cuối
12.PNG
Mình sử dụng công cụ gobuster để dò tìm đường dẫn theo gợi ý và phát hiện đườn dẫn /keeper
24.PNG
Mình truy cập đường dẫn đó đến một trang Keeper
15.PNG
Kiểm tra mã nguồn thì có một gợi ý đến trang wiki để tìm hiểu về Keeper
16.PNG
Ngoài ra, có một link khác mình bấm vào link đó, đưa mình đến một trang và nó bảo mình rằng hãy tìm ra khóa trước khi nó hết thời gian, gợi ý của chúng ta chỉ có bức ảnh đi sâu vào trái tim này. Mình sử dụng google images để tìm thông tin về nó
17.PNG
Thành công tìm được thông tin về một tòa tháp
18.PNG
Và trùng hợp thay ký tự khóa chính là tên tòa tháp này, mình nhập vào và đến trang để lấy khóa
19.PNG
Mình vào link số 4 The Abandoned Room nhập key đó và đến được Room thứ 4, này ghê rợn hơn nhiều, phòng này là ác quỷ ăn thịt người, có link khác.
Screenshot_35.png
Mình bấm vào link Go Further đó nó chuyển cảnh sang trạng thái ảnh GIF quái vật sống dậy chuẩn bị làm thịt bạn thành món gỏi nếu không nhanh chóng chạy, nói cách khác là thực hiện một tác vụ gì đó không là died đó
Cộng đồng Steam :: :: Laura The Evil Within
21.PNG
Mình kiếm tra mã nguồn và biết có thể dùng shell để tấn công lỗ hổng LFI trên URL
22.PNG
Và có thể tìm kiếm nhiều hơn thông tin theo wiki nhưng mình chỉ có 1p35s trước khi died mình liền thử một số parameter phổ thông và thành công với ?shell= …
23.PNG
Lấy được thông tin các danh mục hiện tại trong hệ thống, hú hồn tý chết 😡 😡 😡 nhưng nói thật thử mấy phát mới được đó
Kiểm tra mã nguồn cho đỡ liền một khúc mình thấy có 2 thư mục và 1 tệp php
25.PNG
Trong đó một thư mục là be8b…. mình đang vô rồi còn thư mục còn lại mình chưa vô nên mình đã vô kiểm tra xem sao
26.PNG
Thấy một tệp zip và txt mình tiến hành tải về máy mình, mở tệp you_made_it.txt lên đọc
27.PNG
Nội dung xem ra nói không hề dễ dàng để thực hiện công việc, mình không tin, giải nén tiếp tệp helpme.zip
28.PNG
Thu được một tệp txt và jpg, đọc tệp hepme.txt
29.PNG
Một người tên Joseph, gửi thư kêu cứu 😈 😈 ➡ ➡
Kiểm tra bức ảnh Table.jpg thì nó không phải là ảnh, mình kiểm tra bằng lệnh file phát hiện đây là tệp zip
30.PNG
Mình tiến hành chuyển đổi và giải nén
31.PNG
Thu được một ảnh và một key dạng âm thanh. Mình mở ảnh lênh, thấy đây là nhân vật Joseph
32.PNG
Tệp key.wav làm sao để nghe hiểu khi toàn “bip bip“, rất may mắn là trước đó mình có làm một bài giải mã này và đã tìm một link để decode nó Morse Code Adaptive Audio Decoder | Morse Code World sau khi decode mình thu dãy các ký tự … …. ___ .___ _ . 
Mình lên Cypherchef để giải mã.
33.png
Thu được giá trị là “SHOWME“, và khóa này chắc chắn dùng để giải mã ảnh Joseph_0da.jpg ở trên mình lên trang giải mã ảnh online: Steganographic Decoder (futureboy.us)
34.PNG
Sau đó mình thu được một đoạn thông tin đăng nhập  FTP
35.PNG
Mình chuyển sang bước tiếp theo khai thác dịch vụ FTP

Bước 3: Khai thác FTP

Đăng nhập FTP
36.PNG
Thấy có 2 tệp program và random.dic mình tải về
37.PNG
Mình kiểm tra tệp program và chạy thử thấy ở đây nó thực hiện nhận một chữ từ nào đó để hiện thị correct hoặc incorrect
Screenshot_21.png
Vận dụng kiến thức về python và sử dụng tệp tin random.dic mình sẽ code một chương trình tự động chạy và nạp các ký tự thử từ tệp random.dic hiển thị kết quả
import os
import subprocess
import sys

f = open("random.dic", "r")
key = f.readlines()

for i in key:
	i = str(i.replace("\n",""))
	print (i)
	subprocess.run(["./program", i])

Xong đó mình chạy code thu được giá trị kidman là key chuẩn và một đoạn mã code

Screenshot_22.png

Đoạn này nhìn không thì bạn sẽ không biết nó là gì, thực tế mình tìm hiểu đó là các ký tự khi bạn nhắn tin sms sử dụng cục gạc 1280 nokia đó.

Nokia 101 | Điện thoại 2 sim, giá rẻ - Thegioididong.com

Mình lên trang decode online tìm đúng loại mã này và giải mã: Phone Keypad Cipher Tap T9 – Online Decoder, Translator (dcode.fr)

Screenshot_23.png

Thu được một giá trị khóa về mật khẩu, và đây chính là thông tin để chúng ta khai thác dịch vụ SSH

Bước 4: Khai thác dịch vụ SSH

Truy cập SSH với thông tin user là kidman và mật khẩu vừa thu được mình thấy login được

Screenshot_24.png

Mình đọc cờ đầu luôn

Screenshot_25.png

Tiếp theo mình thử tìm cách làm sao leo thăng từ user này, mình kiểm tra xem thư mục của user này phát hiện tệp tin ẩn .readThis.txt và .the_eye.txt

Screenshot_26.png

Đọc các tệp đó, mình không thu được gì hữu ích cả.

Screenshot_27.png

Ngay cả thử sudo -l hoặc lệnh find cũng không tìm được thông tin hữu ích, mình tiến hành thử tìm tệp crontab xem có gì đặc biệt và phát hiện:

*/2 * * * * root python3 /var/.the_eye_of_ruvik.py

Screenshot_28.png

Mình tìm đến tệp tin .the_eye_of_ruvik.py  kiểm tra quyền của nó thấy user khác có quyền đọc và ghi đó là lỗ hổng.

Screenshot_29.png

Mình mở ra đọc nó thấy chương trình này nó thực hiện lệnh gọi đến .the_eye.txt để nối chuỗi và hiển thị kết quả.

Screenshot_30.png

Mình tiến hành thêm đoạn mã reverse shell kết nối đến user root

Screenshot_31.png

Và đồng thời bên máy kali mình ngồi chờ kết nối ngược tới và thành công vào user root

Screenshot_32.png

Đọc cờ cuối thôi !!! Nhưng phần bạn nhé mình không làm nốt đâu :mrgreen: :mrgreen: 😆

Đọc luôn tệp readMe.txt tại thư mục root

Screenshot_34.png

Nhiệm vụ thêm là xóa bỏ user ruvik vì có thể nó là một mối nguy hiểm như tệp readMe.txt cho hay

Screenshot_33.png

Đến đây là kết thúc game !

Tags

Post a Comment

0 Comments