Tryhackme Basic Pentesting Challenge

image

Sử dụng nmap để scan các port đang mở của target ở đây tôi sử dụng lệnh nmap -sV -T4 <ip> để scan cho nhanh và ta nhận được kết quả là 4 port đang mở.

Với câu hỏi đầu là What is the name of the hidden directory on the web server ta sẽ tiến hành scan directory bằng gobuster ở đâu mình dùng lệnh : 

1
gobuster dir -u http://10.10.237.96 -w /usr/share/wordlists/dirb/common.txt -t 20 -x php,html,txt

image

Ta tìm được directory hidden đó là /development và trả lời câu hỏi thành công bây giờ thử truy cập vào xem sao.

image

Ta sẽ thử đọc nội dung của 2 file dev.txt và j.txt xem có gợi ý gì cho hướng đi tiếp theo không.

1
2
3
4
5
6
7
8
2018-04-23: I've been messing with that struts stuff, and it's pretty cool! I think it might be neat
to host that on this server too. Haven't made any real web apps yet, but I have tried that example
you get to show off how it works (and it's the REST version of the example!). Oh, and right now I'm 
using version 2.5.12, because other versions were giving me trouble. -K

2018-04-22: SMB has been configured. -K

2018-04-21: I got Apache set up. Will put in our content later. -J
1
2
3
4
5
6
7
For J:

I've been auditing the contents of /etc/shadow to make sure we don't have any weak credentials,
and I was able to crack your hash really easily. You know our password policy, so please follow
it? Change that password ASAP.

-K

Có vẻ sau khi audit thì j tìm ra được có weak credentials ta sẽ thử tìm kiếm xem username và ở đây ngoài ra bên target có dùng SMB nên ta dùng thử tool enum4linux để liệt kê thông tin từ dịch vụ SMB (Server Message Block) để lấy username.

image

Dựa theo hint của 2 file txt kết hợp kết quả scan ta tìm ra được 2 username đó là kayjan. Bây giờ để tìm ra password để SSH qua ta sẽ thử dùng hydra để brute-force ở đây mình dùng lệnh:

1
hydra -l jan -P /usr/share/wordlists/rockyou.txt ssh://10.10.237.96

image

Thành công lấy được password là armando.

Bây giờ ta sẽ ssh vào account jan và xem thử có cách nào để lấy được password của kay không.

Sau một lúc tìm kiếm thì có vẻ như không có file nào ta có thể đọc được nên ta sẽ dùng https://github.com/peass-ng/PEASS-ng/tree/master/linPEAS để tìm thử các path khả dụng.

image

Ta Wget về sau đó đẩy nó ra qua python server ở port 8080 bây giờ sang bên máy jan ta sẽ get về sau đó chạy file sh.

image

Ta tìm được SSH private key của user kay bây giờ ta sẽ crack nó ra bằng john.

image

Thành công crack được passphrase của user kay bây giờ ta sẽ SSH qua user kay để lấy thông tin bên trong.

image

Thành công SSH với passphrase là beeswax.

image

Lấy được password thành công chỉ cần nộp đáp án và done room.