TryHackMe Year of the Rabbit writeup
Year of the Rabbitのwriteupです。
What is the user flag?
nmapで調べてみるとFTP,SSH,HTTPが開いていることが分かりました。
gobusterで調べてみると、assetsというディレクトリがあるようです。
とりあえずfirefoxでアクセスしてみます。
apacheのデフォルトのページですね。
先ほど検出したassetsディレクトリにアクセスしてみます。
mp4とcssが見つかりました。
cssを開いてみます。
なんだか超怪しいコメントがあります。
このphpファイルにアクセスしてみます。
javascriptのアラートが表示され、Youtubeにリダイレクトされてしまいました。
そのHTTPリクエストの内容を見てみると、hidden_directoryの記述が。
hidden_directoryにアクセスしてみます。
画像が見つかりました!なんだか少しずつ先に進んでいますね。
特にヒントは無さそうな画像ですね。
ちょっとよく分からないので、画像を解析してみます。
exiftoolコマンドで調べると、warningが出ています。
stringコマンドで調べてみると
なんと、FTPのユーザー名が。
しかもこの中にパスワードがあると。
優しいんだか意地悪なんだか。。
「One of these is the password:」以下の文字列をリストにしてテキストファイルに保存します。
そして、Hydraを使ってパスワードを破ってみます。あっという間に破ることができました。
FTPでログインすると怪しいテキストファイルが見つかったため、ダウンロードします。
開いてみると、なんじゃこりゃ。
色々とググってみると、Brainfuckというプログラミング言語のようです。
いくつかWEB上でgenerateできるサイトがあるので、通して見ると、ユーザ名とパスワードが特定できました。
SSHでログインしてみると・・・ログインできました!!
よく分かりませんが、s3cr3tがどうのこうのと書かれています。(secret?)
カレントディレクトリにはめぼしいファイルは無いようです。
s3cr3tを探してみます。
すると、見つかりました。
別ユーザーのパスワードが書かれちゃってます。
親切な案内に従ってユーザーを切り替えてみると、、、切り替えられました!
最初のフラグゲットです!
What is the root flag?
sudo -lをしてみると、viが使えそう
また、sudo -Vをすると、sudoのバージョンが1.8.10p3であることが分かります。
exploit-dbで調べると、sudoの脆弱性で下記の攻撃が使えることが分かりました。
sudo 1.8.27 - Security Bypass - Linux local Exploit
※簡単に書いていますが、sudo自体の脆弱性に気づくのに時間がかかりました。。。
で、viを使って試してみます。
gfobinsを参考にviで下記を打ちます。
:set shell=/bin/sh :shell
そうすると、rootに権限昇格できました。
あとはファイルを読めば完了です!!