Year of the Rabbitのwriteupです。

tryhackme.com

What is the user flag?

nmapで調べてみるとFTP,SSH,HTTPが開いていることが分かりました。

gobusterで調べてみると、assetsというディレクトリがあるようです。

とりあえずfirefoxでアクセスしてみます。
apacheのデフォルトのページですね。

先ほど検出したassetsディレクトリにアクセスしてみます。
mp4とcssが見つかりました。

cssを開いてみます。
なんだか超怪しいコメントがあります。

このphpファイルにアクセスしてみます。
javascriptのアラートが表示され、Youtubeにリダイレクトされてしまいました。

そのHTTPリクエストの内容を見てみると、hidden_directoryの記述が。

hidden_directoryにアクセスしてみます。
画像が見つかりました！なんだか少しずつ先に進んでいますね。

特にヒントは無さそうな画像ですね。

ちょっとよく分からないので、画像を解析してみます。
exiftoolコマンドで調べると、warningが出ています。

stringコマンドで調べてみると

なんと、FTPのユーザー名が。
しかもこの中にパスワードがあると。
優しいんだか意地悪なんだか。。

「One of these is the password:」以下の文字列をリストにしてテキストファイルに保存します。
そして、Hydraを使ってパスワードを破ってみます。あっという間に破ることができました。

FTPでログインすると怪しいテキストファイルが見つかったため、ダウンロードします。

開いてみると、なんじゃこりゃ。

色々とググってみると、Brainfuckというプログラミング言語のようです。
いくつかWEB上でgenerateできるサイトがあるので、通して見ると、ユーザ名とパスワードが特定できました。

SSHでログインしてみると・・・ログインできました！！

よく分かりませんが、s3cr3tがどうのこうのと書かれています。(secret？)
カレントディレクトリにはめぼしいファイルは無いようです。

s3cr3tを探してみます。

すると、見つかりました。

別ユーザーのパスワードが書かれちゃってます。

親切な案内に従ってユーザーを切り替えてみると、、、切り替えられました！

最初のフラグゲットです！

What is the root flag?

sudo -lをしてみると、viが使えそう

また、sudo -Vをすると、sudoのバージョンが1.8.10p3であることが分かります。

exploit-dbで調べると、sudoの脆弱性で下記の攻撃が使えることが分かりました。

sudo 1.8.27 - Security Bypass - Linux local Exploit

※簡単に書いていますが、sudo自体の脆弱性に気づくのに時間がかかりました。。。

で、viを使って試してみます。

gfobinsを参考にviで下記を打ちます。

:set shell=/bin/sh
:shell

そうすると、rootに権限昇格できました。
あとはファイルを読めば完了です！！