Tryhackme CTF Write-Up : Tomghost

Dans ce write-up, nous verrons comment compléter Tomghost de TryHackMe, Un challenge CTF de niveau débutant qui requiert plusieurs techniques : john,gpg2john,élévation de privilège...

Enumération

Commençons par un scan Nmap pour voir les ports ouverts puis un second sur ceux ouverts pour voir les services qui tournent dessus ainsi que le script par défaut de nmap sur ces ports

Dans ce scan nous trouvons que quatres ports sont ouverts :

• 22 : un service ssh 7.2p2 d’OpenSSH

• 53 : un serveur dns

• 8009 un protocol APJ

• 8080: un serveur Apache Tomcat 9.0.30

Une fois sur le site internet, une page de configuration par défaut Apache, l'énumération de dossier n'ayant rien donné, je recherche pour une exploitation apache tomcat 9.0.30

Et nous tombons sur l'exploitation AJP 'Ghostcat' sur Metasploit

Je lance donc msfconsole et recherche l'exploit ghostcat

Après configuration du rhost, nous lançons l'exploit et trouvons des credentials ssh

Connectons nous au service ssh et récupérons le flag user dans le dossier /merlin

Dans le dossier /home/skyfuck nous trouvons deux fichiers, tryhackme.asc et credential.gpg récuperons les sur la machine kali pour ensuite les décrypter

on convertit le .asc en fichier .txt pour le rendre lisible par john

Puis avec john, nous obtenons une passphrase,

Nous pouvons maintenant importer la clé .asc pour décrypter le fichier .pgp, cela se fait avec gpg

Et nous obtenons les credentials de merlin

Sur la session de merlin nous voyons qu'elle peut utiliser /usr/bin/zip avec les permissions root

Nous nous rendons alors sur https://gtfobins.github.io/ pour trouver si ce binaire peut être abusé

Il ne reste plus qu'à copier celà dans le terminal et nous voilà root

J'espère que vous aurez appris quelque chose et apprécié mon write-up

N'hésitez pas à faire la room sur tryhackme : https://tryhackme.com/room/tomghost

mon profil tryhackme : https://tryhackme.com/p/Frozzinours