Catégories
CTF

Bounty Hacker

« You talked a big game about being the most elite hacker in the solar system. Prove it and claim your right to the status of Elite Bounty Hacker! »

https://tryhackme.com/room/cowboyhacker

« You talked a big game about being the most elite hacker in the solar system. Prove it and claim your right to the status of Elite Bounty Hacker! »

Voilà mon writeup pour cette machine sur Tryhackme.

Phase de reconnaissance

Nmap sans options pour une première découverte:

Après avoir fait ce nmap assez basique, j’aime bien ajouter le script par défaut ainsi que le script de découverte de versions pour avoir plus d’informations sur les ports ouverts de la machine:

On peut voir que dans la liste des services, on y retrouve le FTP avec l’authentification anonyme activée ce qui pourrait constituer une première piste d’exploitation, nous pourrons essayer cela. On voit ici que l’adresse IP héberge un site Internet, voyons ce qu’il contient.

Il s’agit d’un simple site avec une image et du texte (un dialogue sur le thème du CTF à savoir Cowboy Bebop), le voici:

  • Spike: »..Oh look you’re finally up. It’s about time, 3 more minutes and you were going out with the garbage. »
  • Jet: »Now you told Spike here you can hack any computer in the system. We’d let Ed do it but we need her working on something else and you were getting real bold in that bar back there. Now take a look around and see if you can get that root the system and don’t ask any questions you know you don’t need the answer to, if you’re lucky I’ll even make you some bell peppers and beef. »
  • Ed: »I’m Ed. You should have access to the device they are talking about on your computer. Edward and Ein will be on the main deck if you need us! »
  • Faye: »..hmph.. »

Nous pouvons essayer de voir si le site contient des dossiers cachés qui pourraient nous être utiles pour la phase d’exploitation:

Il n’y a donc rien à exploiter rapidement sur le site web.

Phase d’exploitation

Testons l’authentification sur le FTP:

La connexion s’est bien effectuée. On peut maintenant essayer de trouver des informations utiles à la complétion de ce CTF.
On peut voir deux fichiers lisibles sur le serveur que nous allons récupérer sur notre machine attaquante pour les analyser:

Contenu task.txt & locks.txt :

Nous avons donc des tâches à effectuer écrites par une certaines « lin » et une liste que l’on peut considérer comme étant un dictionnaire de mot de passe.
A ce stade, avec le nom « lin », qui pourrait être un nom d’utilisateur et une liste de mot de passe on peut essayer de brute-forcer le service SSH.
Pour cela on va se servir d’un outil surprise qui nous servira plus tard (la ref à Mickey là haha), qui est nul autre qu’Hydra.

En quelques secondes, nous trouvons le mot de passe SSH du compte « lin », essayons la connexion :

On obtient grâce à ça notre premier flag THM{CR1M3_SyNd1C4T3}.

Maintenant que nous avons notre accès utilisateur à la machine, nous pouvons passer à la prochaine phase, l’élévation de privilèges.

Phase d’élévation de privilèges

Je commence par voir la liste des commandes que l’utilisateur peut lancer en tant que sudo

Essayons de voir si la commande tar peut être exploitée pour une élévation de privilèges sur GTFOBins (la bible de l’élévation de privilèges selon moi):

Pile ce dont nous avons besoin, essayons la commande :

Et voilà, nous sommes passés en utilisateur root (utilisateur privilégié). Cherchons notre dernier flag:

Voilà, la box a bien été pawn.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *