This page looks best with JavaScript enabled

TryHackMe - Easy Peasy

 ·  ☕ 7 min read  ·  ✍️ sckull

Easy Peasy es una maquina de TryHackMe aqui encontrarás la solucion para obtener la flag user.txt y root.txt.

Informacion de la Maquina

Titulo Easy Peasy
Info Practice using tools such as Nmap and GoBuster to locate a hidden directory to get initial access to a vulnerable machine. Then escalate your privileges through a vulnerable cronjob.
Puntos 330
Dificultad Facil
Maker kral4

NMAP

Escaneo de puertos tcp, nmap nos muestra el puerto http (80), ssh (6498) y http (65524) abierto.

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
# Nmap 7.80 scan initiated Wed Aug  5 01:17:20 2020 as: nmap -p- -T4 -o nmap_scan -v easy.thm
Increasing send delay for 10.10.162.162 from 0 to 5 due to 21 out of 52 dropped probes since last increase.
Nmap scan report for easy.thm (10.10.162.162)
Host is up (0.26s latency).
Not shown: 65532 closed ports
PORT      STATE SERVICE
80/tcp    open  http
6498/tcp  open  unknown
65524/tcp open  unknown

Read data files from: /usr/bin/../share/nmap
# Nmap done at Wed Aug  5 01:39:35 2020 -- 1 IP address (1 host up) scanned in 1335.29 seconds

# Nmap 7.80 scan initiated Wed Aug  5 01:46:14 2020 as: nmap -sV -p 80,6498,65524 -o services_scan easy.thm
Nmap scan report for easy.thm (10.10.162.162)
Host is up (0.29s latency).

PORT      STATE SERVICE VERSION
80/tcp    open  http    nginx 1.16.1
6498/tcp  open  ssh     OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
65524/tcp open  http    Apache httpd 2.4.43 ((Ubuntu))
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Wed Aug  5 01:46:30 2020 -- 1 IP address (1 host up) scanned in 15.45 seconds

HTTP

Encontramos una pagina web en el puerto 80.
image

GOBUSTER

Utilizamos gobuster para busqueda de directorios y archivos.

1
2
3
4
root@upset:~/thm/easypeasy gobuster dir -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -u http://easy.thm/ -q -t 250 -x php,html,txt
/index.html (Status: 200)
/robots.txt (Status: 200)
/hidden (Status: 301)

Encontramos el archivo robots.txt el cual no contiene ninguna url excluida, tambien la pagina hidden donde encontramos una imagen de fondo.
image

Ejecutamos nuevamente RUSTUBUSTER pero ahora en el directorio/pagina hidden.

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
root@upset:~/thm/easypeasy /opt/rustbuster/rustbuster dir -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt --url http://easy.thm/hidden/ -t 155 -e php,html,txt -o out_hidden.txt
~ rustbuster v3.0.3 ~ by phra & ps1dr3x ~

         _     _                 _         _           _        _                 _         _           _           _     
        /\ \  /\_\              / /\      /\ \        / /\     /\_\              / /\      /\ \        /\ \        /\ \   
       /  \ \/ / /         _   / /  \     \_\ \      / /  \   / / /         _   / /  \     \_\ \      /  \ \      /  \ \  
      / /\ \ \ \ \__      /\_\/ / /\ \__  /\__ \    / / /\ \  \ \ \__      /\_\/ / /\ \__  /\__ \    / /\ \ \    / /\ \ \ 
     / / /\ \_\ \___\    / / / / /\ \___\/ /_ \ \  / / /\ \ \  \ \___\    / / / / /\ \___\/ /_ \ \  / / /\ \_\  / / /\ \_\
    / / /_/ / /\__  /   / / /\ \ \ \/___/ / /\ \ \/ / /\ \_\ \  \__  /   / / /\ \ \ \/___/ / /\ \ \/ /_/_ \/_/ / / /_/ / /
   / / /__\/ / / / /   / / /  \ \ \    / / /  \/_/ / /\ \ \___\ / / /   / / /  \ \ \    / / /  \/_/ /____/\   / / /__\/ / 
  / / /_____/ / / /   / / _    \ \ \  / / /     / / /  \ \ \__// / /   / / _    \ \ \  / / /     / /\____\/  / / /_____/  
 / / /\ \ \  / / /___/ / /_/\__/ / / / / /     / / /____\_\ \ / / /___/ / /_/\__/ / / / / /     / / /______ / / /\ \ \    
/ / /  \ \ \/ / /____\/ /\ \/___/ / /_/ /     / / /__________/ / /____\/ /\ \/___/ / /_/ /     / / /_______/ / /  \ \ \   
\/_/    \_\/\/_________/  \_____\/  \_\/      \/_____________\/_________/  \_____\/  \_\/      \/__________\/_/    \_\/   


[?] Started at	: 2020-08-05 00:52:23

GET	200 OK				http://easy.thm/hidden/
GET     200 OK                          http://easy.thm/hidden/index.html
GET     301 Moved Permanently           http://easy.thm/hidden/whatever
						=> http://easy.thm/hidden/whatever/
GET     200 OK                          http://easy.thm/hidden/
^C

En una de las paginas encontradas vemos base64, el cual contiene una flag.
image

HTTP 65524

Encontramos la pagina de apache en el puerto 65524.
image

Encontramos en el codigo fuente una flag.
image

Además un parrafo escondido, con una cadena de caracteres “codificado”.
image

Ejecutamos rustbuster en este puerto al igual que en el puerto 80.

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
root@upset:~/thm/easypeasy /opt/rustbuster/rustbuster dir -u http://easy.thm:65524/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 150 -e php,html,txt -o high_port.txt
~ rustbuster v3.0.3 ~ by phra & ps1dr3x ~

         _     _                 _         _           _        _                 _         _           _           _     
        /\ \  /\_\              / /\      /\ \        / /\     /\_\              / /\      /\ \        /\ \        /\ \   
       /  \ \/ / /         _   / /  \     \_\ \      / /  \   / / /         _   / /  \     \_\ \      /  \ \      /  \ \  
      / /\ \ \ \ \__      /\_\/ / /\ \__  /\__ \    / / /\ \  \ \ \__      /\_\/ / /\ \__  /\__ \    / /\ \ \    / /\ \ \ 
     / / /\ \_\ \___\    / / / / /\ \___\/ /_ \ \  / / /\ \ \  \ \___\    / / / / /\ \___\/ /_ \ \  / / /\ \_\  / / /\ \_\
    / / /_/ / /\__  /   / / /\ \ \ \/___/ / /\ \ \/ / /\ \_\ \  \__  /   / / /\ \ \ \/___/ / /\ \ \/ /_/_ \/_/ / / /_/ / /
   / / /__\/ / / / /   / / /  \ \ \    / / /  \/_/ / /\ \ \___\ / / /   / / /  \ \ \    / / /  \/_/ /____/\   / / /__\/ / 
  / / /_____/ / / /   / / _    \ \ \  / / /     / / /  \ \ \__// / /   / / _    \ \ \  / / /     / /\____\/  / / /_____/  
 / / /\ \ \  / / /___/ / /_/\__/ / / / / /     / / /____\_\ \ / / /___/ / /_/\__/ / / / / /     / / /______ / / /\ \ \    
/ / /  \ \ \/ / /____\/ /\ \/___/ / /_/ /     / / /__________/ / /____\/ /\ \/___/ / /_/ /     / / /_______/ / /  \ \ \   
\/_/    \_\/\/_________/  \_____\/  \_\/      \/_____________\/_________/  \_____\/  \_\/      \/__________\/_/    \_\/   


[?] Started at	: 2020-08-05 01:14:24

GET	200 OK				http://easy.thm:65524/
GET     403 Forbidden                   http://easy.thm:65524/.html
GET     200 OK                          http://easy.thm:65524/index.html
GET     200 OK                          http://easy.thm:65524/robots.txt
C^

En robots.txt encontramos un hash MD5, utilizamos md5hashing para obtener el texto plano el cual es una flag.
image

Rustbuster no nos dio mas que errores, por lo que nos concentramos en el texto “codificado” que encontramos. Utilizamos CyberChef para poder decodificar el texto. Encontramos que es posiblo utilizando base62, el cual nos devolvio lo que parece ser un directorio.
image

Encontramos en este nuevo directorio lo que parece ser un hash SHA-256.
image

Utilizamos nuevamente md5hashing el cual nos mostró una “contraseña”.
image

Descargamos la imagen de la pagina, utilizando steghide y la contraseña que encontramos logramos encontrar un archivo que contiene codificado en binario un texto y el nombre de un usuario.
image

Nuevamente con CyberChef logramos obtener el texto.
image

BORING - USER

Con las credenciales que encontramos ingresamos por medio del servicio SSH de la maquina en el puerto 6498.
image

Encontramos nuestra flag user.txt la cual esta ‘rotada’.
image

PRIVILEGE ESCALATION

Hacemos una pequeña enumeracion con cat /etc/crontab y vemos cron que se ejecuta con el usuario root y que ejecuta el archivo .mysecretcronjob.sh en /var/www/.
image

El archivo no contiene ningun comando por lo que agregamos una shell inversa al archivo.
image

Ejecutamos netcat para esperar la conexion de nuestra shell, obtuvimos una shell con usuario root y nuestra flag root.txt.
image

Share on

sckull
WRITTEN BY
sckull
Pentester wannabe

THM: Easy Peasy