Kalix Write-up
  • ✍️Kalix CTF Write-Ups
  • TryHackMe CTF Write-Up : RootMe
  • Tryhackme CTF Write-Up : SimpleCTF
  • TryHackMe CTF Write-up : Agent Sudo
  • Tryhackme CTF Write-Up : Bounty Hacker
  • Tryhackme CTF Write-Up : Tomghost
  • Tryhackme CTF Write-Up : Mr Robot CTF
  • Tryhackme CTF Write-Up : Wgel
  • Tryhackme CTF Write-Up : Brooklyn Nine Nine
  • Tryhackme CTF Write-Up : Brute It
  • Tryhackme CTF Write-Up : Lazy Admins
  • Tryhackme CTF Write-Up : Ignite
  • Tryhackme CTF Write-Up : Dogcat
  • Tryhackme CTF Write-Up : Startup
  • Tryhackme CTF Write-Up : GamingServer
  • Tryhackme CTF Write-Up : Anonymous
  • Tryhackme CTF Write-Up : Lian_yu
  • Tryhackme CTF Write-Up : Source
  • Tryhackme CTF Write-Up : Gotta Catch'em All!
Powered by GitBook
On this page

Tryhackme CTF Write-Up : Anonymous

Dans ce write-up, nous verrons comment compléter Anonymous de TryHackMe, Un challenge CTF de niveau débutant qui requiert plusieurs techniques : nmap, ftp, lxd

PreviousTryhackme CTF Write-Up : GamingServerNextTryhackme CTF Write-Up : Lian_yu

Last updated 1 year ago

Enumération

Commençons par un scan Nmap pour voir les ports ouverts puis un second sur ceux ouverts pour voir les services qui tournent dessus ainsi que le script par défaut de nmap sur ces ports

Dans ce scan nous trouvons que quatres ports sont ouverts :

  • 21 : un service ftp vsftpd 2.08 ou +

  • 22 : Un service ssh OpenSSH 7.6p1

  • 139 : un service smb Samba

  • 445 : un service smb Samba 4.7.6

Nous voyons que l'accès ftp en tant qu'anonymous est autorisé, et qu'il y a un dossier script

Nous récupérons 3 fichiers, to_do.txt, removed_files.log et clean.sh

Nous voyons que le to_do.txt ne servira pas à grand chose, un simple reminder

nous voyons dans le fichier log qu'un script, très probablement clean.sh à l'air de s'executer fréquemment

nous allons alors modifier clean.sh pour y ajouter un reverse shell le remettre dans le serveur ftp et attendre que le fichier soit executer par son propriétaire

Nous voyons que clean.sh ne perd pas ses droits d'éxécutions, parfait

configurons un listener sur le même port du reverse shell et attendons

Nous recevons bien la connexion, et pouvons récupérer le flag user,

Elevation de privilèges :

Je vous invite à suivre cette exploitation :

puis dans le dossier créer nous faisons sudo ./build-alpine

Nous obtenons un fichier .tar.gz que nous transferrons sur la machine victime

Ensuite nous importons l'image dans lxc

nous faisons l'initialisation de l'image vous pouvez laisser tout par défaut

lors de lxc exec mycontainer /bin/sh on lance un shell avec les privilèges root :)

Nous sommes alors root et pouvons sortir du container et nous rendre dans le /mnt/root/root où se trouve le root.txt

J'espère que vous aurez appris quelque chose et apprécié mon write-up

En tapant id je vois que l'utilisateur est dans le groupe lxd, je sais que nous pouvons abuser de ces privilèges de ce groupe pour devenir root ( cf )

Nous clonons d'abord sur notre machine attaquante

N'hésitez pas à faire la room sur tryhackme :

mon profil tryhackme :

gamingserver ctf
https://github.com/saghul/lxd-alpine-builder
https://tryhackme.com/room/anonymous
https://tryhackme.com/p/Frozzinours
LogoLinux Privilege Escalation - Exploiting the LXC/LXD Groups - StefLan's Security BlogStefLan's Security Blog
ajoutons le reverse shell