Ez egy nagyon könnyed törős feladat volt, magam is meglepődtem, hogy még én is meg tudtam csinálni segítség nélkül.
Az első kérdés, hány nyitott port van. Ha valaki elég szemfüles, a többi kérdésből ki tudja találni, de azért álljon itt az nmap parancs:
nmap -sS -Pn -A -sV --top-ports 10 $IP
A kimenet segítségével az első négy kérdést simán meg lehet válaszolni, mert a -A megpróbálja meghatározni az operációs rendszert, az -sV pedig kiírja a szolgáltatások verzióját.
Meg kell keresni a rejtett webes könyvtárat:
gobuster dir -w /usr/share/wordlists/seclists/Discovery/Web-Content/directory-list-2.3-big.txt -u http://$IP/
De igazából olyan egyszerű, hogy három próbálgatással bárki megtalálná. A fenti parancs 10 másodpercen belül köpte a választ.
A következő feladat az admin felület törése volt. A forrásban van némi támpont, hogy ne kelljen a felhasználó nevet is próbálgatni.
hydra -l ****** -P /usr/share/wordlists/rockyou.txt 10.10.8.197 http-post-form "/*****/index.php:user=^USER^&pass=^PASS^:Invalid"
A felhasználó nevet és a könyvtárat kicsillagoztam, hogy azért más is dolgozzon :-)
Letötlhetjük az ssh kulcsot, de a passphrase-t nem kapjuk meg. A weboldalon van egy flag is. Szerezzük meg a passphrase-t:
ssh2john file >hash.txt
A hash.txt-t szerkeszteni kell, mert a fájl neve ott ficereg az elején, és ezt a hashcat nem szereti. Ugyanis én azzal törtem, mert jobban szeretem, mint John-t.
hashcat -a 0 -w 3 hash.txt /usr/share/wordlists/rockyou.txt
Pár pillanat alatt megvan a passphrase. Most már beléphetünk ssh-val. Belépés után a user flaget olvashatjuk. Jöhet a root. A sudo -l megmutatja, milyen programhoz van hozzáférésünk. Azzal a programmal meg tudjuk nézni az /etc/shadow állományt. Ha elmentjük a root hash-t, akkor a fenti hashcat paranccsal azt is törhetjük (feltéve, hogy az is a hash.txt-ben van). A root flaghez is használhatjuk azt a parancsot, amivel az /etc/shadow-t kiírattuk, mert általában a root.txt fájlba helyezik a flag-et.
sudo ***** /root/root.txt
Nagyon jó kis ebéd utáni feladatsor volt.
