Добавить в корзинуПозвонить
Найти в Дзене
TryHackMe: Гид по кибербезопасности | Разборы задач

Решение tomghost на Tryhackme

1
1 мин
1. Сканирование nmap 2. Смотрю что есть на порту 8080 3. Версия Tomcat 9.0.30, я поискал уязвимости для этой версии, но айти ничего не смог 4. Вижу что на порту 8009 находится ajp13 пробую найти уязвимости для него 5. Вижу что есть CVE-2020-1938, смотрю ее описание CVE-2020-1938 — это уязвимость чтения/включения файлов в соединителе AJP
в Apache Tomcat. Она включена с портом конфигурации по умолчанию 8009.
Удаленный злоумышленник, не прошедший аутентификацию, может
воспользоваться этой уязвимостью для чтения файлов веб-приложения с
уязвимого сервера. 6. Решаю посмотреть есть ли эта уязвимость в базе msf 7. Вижу что уязвимость есть в базе, смотрю какие параметры необходимы для ее эксплуатации, добавляю необходимый параметр rhosts и запускаю CVE 8. Вижу что в тексте файла находятся какие то логин и пароль, пробую используя их подключиться по ssh 9. Подключение прошло успешно проверяю кто я 10. В домашней папке пользователя ничего интересного не нашел, перешел в папку /home, увидел ч

1. Сканирование nmap

-2

2. Смотрю что есть на порту 8080

-3

3. Версия Tomcat 9.0.30, я поискал уязвимости для этой версии, но айти ничего не смог

4. Вижу что на порту 8009 находится ajp13 пробую найти уязвимости для него

-4

5. Вижу что есть CVE-2020-1938, смотрю ее описание

CVE-2020-1938 — это уязвимость чтения/включения файлов в соединителе AJP
в Apache Tomcat. Она включена с портом конфигурации по умолчанию 8009.
Удаленный злоумышленник, не прошедший аутентификацию, может
воспользоваться этой уязвимостью для чтения файлов веб-приложения с
уязвимого сервера.

6. Решаю посмотреть есть ли эта уязвимость в базе msf

-5

7. Вижу что уязвимость есть в базе, смотрю какие параметры необходимы для ее эксплуатации, добавляю необходимый параметр rhosts и запускаю CVE

-6

8. Вижу что в тексте файла находятся какие то логин и пароль, пробую используя их подключиться по ssh

-7

9. Подключение прошло успешно проверяю кто я

-8

10. В домашней папке пользователя ничего интересного не нашел, перешел в папку /home, увидел что есть еще пользователь merlin, зашел к нему в домашнюю папку и увидел что доступен для чтения файл user.txt, прочитав который получил флаг пользователя

-9

11. У себя в домашней директории я вижу два файла с расширениями .pgp и .asc, решил поискать что это

-10

12.

PGP - это стандарт шифрования, а .asc часто используется для текстового представления зашифрованных данных или подписей.

13. Ищу как можно расшифровать эти файлы и на первом же ресурсе вижу список команд для дешифрации этих файлов

-11

14. Как я понял файл .asc используется как ключ для дешифрования .pgp, используя эти команды патыюсь дешифровать файл, перед этим проверен установлен ли gpd на атакуемой машине

-12

-13

15. Вижу что требуется пароль для дешифрации, у меня его нет, поэтому решаю попробовать расшифровать файл с ключом asc. Для этого решаю скачать этот файл себе на машину. Запускаю на атакуемой машине http сервер на пайтон и скачиваю этот файл к себе

-14
-15

16. С помощью gpg2john получаю хэш, сохраняю его в hash_asc, потом с помощью john и словаря ломаю полученный хэш

-16

17. Теперь у меня есть пароль и можно попробовать повторить дешифрацию pgp

-17

18. Вижу пару логин merlin и пароль, пытаюсь сменить пользователя на merlin и у меня это получается

-18

19. Смотрю что я могу выполнять с sudo

-19

20. Вижу что от имени рута могу выполнять zip, иду на GTFOBins и находу необходимые команды для получения root, ввожу их и получаю root

-20

21. Читаю флаг root машина выполнена

-21