Dans ce write-up, nous verrons comment compléter Tomghost de TryHackMe, Un challenge CTF de niveau débutant qui requiert plusieurs techniques : john,gpg2john,élévation de privilège...
Enumération
Commençons par un scan Nmap pour voir les ports ouverts puis un second sur ceux ouverts pour voir les services qui tournent dessus ainsi que le script par défaut de nmap sur ces ports
Dans ce scan nous trouvons que quatres ports sont ouverts :
22 : un service ssh 7.2p2 d’OpenSSH
53 : un serveur dns
8009 un protocol APJ
8080: un serveur Apache Tomcat 9.0.30
Une fois sur le site internet, une page de configuration par défaut Apache, l'énumération de dossier n'ayant rien donné, je recherche pour une exploitation apache tomcat 9.0.30
Et nous tombons sur l'exploitation AJP 'Ghostcat' sur Metasploit
Je lance donc msfconsole et recherche l'exploit ghostcat
Après configuration du rhost, nous lançons l'exploit et trouvons des credentials ssh
Connectons nous au service ssh et récupérons le flag user dans le dossier /merlin
Dans le dossier /home/skyfuck nous trouvons deux fichiers, tryhackme.asc et credential.gpg récuperons les sur la machine kali pour ensuite les décrypter
on convertit le .asc en fichier .txt pour le rendre lisible par john
Puis avec john, nous obtenons une passphrase,
Nous pouvons maintenant importer la clé .asc pour décrypter le fichier .pgp, cela se fait avec gpg
Et nous obtenons les credentials de merlin
Sur la session de merlin nous voyons qu'elle peut utiliser /usr/bin/zip avec les permissions root
