1
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

TryHackMe Writeup:UltraTech

Posted at

最初に

TryHackMeのUltraTechのWriteupになります!
image.png

Task1

マシーンを起動するだけです!

Task2 It's enumeration time!

偵察していきます~

Which software is using the port 8081?

まずはnmap!
image.png

8081番ポートでNode.jsが起動しているのが確認できます!
このポートでHTTPのサービスを提供しているので、さっそくアクセスしてみます
image.png

Which other non-standard port is used?

nmapに-p 1-65535のオプションをつけて、全ポートをスキャンします
image.png

(処理に時間がかかるので、-T4で高速スキャンにしています)

Which software using this port?

-T4の高速スキャンでは情報がほとんどとれないので、31331ポートだけに絞ってnampでスキャンしていきます

image.png

このポートもHTTPを提供していたのですね~
Task3で詳細に見ていきます!

Which GNU/Linux distribution seems to be used?

31331ポートのnmapスキャンの結果に記載されていました!

The software using the port 8081 is a REST api, how many of its routes are used by the web application?

8081番ポートにdirbで隠しディレクトリを探していきます
2つあるみたいです
image.png

/authではログイン名とパスワードを特定するように記載されています
image.png

/pingに関してはErrorと思われる画面が、、、、
image.png

WebアプリケーションやWebAPIのルートは、提供されている機能への入り口・アクセス先を表すので、今回は上記2つがルートに対応します

Task3

There is a database lying around, what is its filename?

どこかにdatabaseファイルがあるとのことですね

まだちゃんと見れていなかった31331番ポートにdirbしてみます
image.png

いろいろコードをみていたのですが、Hintから/pingのAPIが関連していそうだったので、/js/api.jsを見てみます

image.png

そうすると/pingにはipのパラメータを指定する必要がある、かつ、パラメータに渡すIPアドレスはコマンドを実行して取得していることがわかりました
image.png

/ping?ip='ls'を実行すると、きれいにデータベースファイルが笑
image.png

What is the first user's password hash?

image.png

ping: ) ���(Mr00tf357a0c52799563c7c7b76c1e7543a32)Madmin0d0ea5111e3c1def594c1684e3b9be84: Parameter string not correctly encoded 

What is the password associated with this hash?

Clack Stationでクラックしてみると、パスワードが見つかりました!
(ユーザー名とパスワードが連結されているので、わかりにくいですね。。)
image.png

Task4

最後は権限昇格です!

What are the first 9 characters of the root user's private SSH key?

Task3の最後に分かったパスワードをつかってSSH接続します
(ユーザー名はr00tです。Mは文字化けがでてきているだけみたいです。。。)

権限昇格しないとさすがに秘密鍵は見れないですね、、、
image.png

ここで、いきづまってしまったので、Writeupをみました、、、

このユーザーはdockerグループに所属しているみたい
確かにdockerコマンドが使えます
image.png

GTFOBinsを参照に特権をとっていきます

ただ、そのまま使うとalphinがないといわれてエラーがでます
image.png

現在動いているプロセスで使われているイメージを確認したところ、bashになっていました
image.png

alphinのところをbashに変更して再度チャレンジするとRootで入れました!
image.png

あとは秘密鍵を出力するだけです!
image.png

最後に

今回学んだことは以下2つです!

  • SSH接続したときは、以下を確認する
    • whoami
    • pwd
    • groups
  • $があればコマンド実行のチャンス!

メモ

FTP接続してみた

FTPはanonymousではアクセスできないみたい。。。
image.png

dirbの実行結果

┌──(root㉿kali)-[~]
└─# dirb http://10.10.84.89:31331

-----------------
DIRB v2.22    
By The Dark Raver
-----------------

START_TIME: Fri Oct 18 08:39:00 2024
URL_BASE: http://10.10.84.89:31331/
WORDLIST_FILES: /usr/share/dirb/wordlists/common.txt

-----------------

GENERATED WORDS: 4612                                                          

---- Scanning URL: http://10.10.84.89:31331/ ----
==> DIRECTORY: http://10.10.84.89:31331/css/                                                                       
+ http://10.10.84.89:31331/favicon.ico (CODE:200|SIZE:15086)                                                       
==> DIRECTORY: http://10.10.84.89:31331/images/                                                                    
+ http://10.10.84.89:31331/index.html (CODE:200|SIZE:6092)                                                         
==> DIRECTORY: http://10.10.84.89:31331/javascript/                                                                
==> DIRECTORY: http://10.10.84.89:31331/js/                                                                        
+ http://10.10.84.89:31331/robots.txt (CODE:200|SIZE:53)                                                           
+ http://10.10.84.89:31331/server-status (CODE:403|SIZE:302)                                                       
                                                                                                                   
---- Entering directory: http://10.10.84.89:31331/css/ ----
(!) WARNING: Directory IS LISTABLE. No need to scan it.                        
    (Use mode '-w' if you want to scan it anyway)
                                                                                                                   
---- Entering directory: http://10.10.84.89:31331/images/ ----
(!) WARNING: Directory IS LISTABLE. No need to scan it.                        
    (Use mode '-w' if you want to scan it anyway)
                                                                                                                   
---- Entering directory: http://10.10.84.89:31331/javascript/ ----
==> DIRECTORY: http://10.10.84.89:31331/javascript/jquery/                                                         
                                                                                                                   
---- Entering directory: http://10.10.84.89:31331/js/ ----
(!) WARNING: Directory IS LISTABLE. No need to scan it.                        
    (Use mode '-w' if you want to scan it anyway)
                                                                                                                   
---- Entering directory: http://10.10.84.89:31331/javascript/jquery/ ----
+ http://10.10.84.89:31331/javascript/jquery/jquery (CODE:200|SIZE:268026)                                         
                                                                                                                   
-----------------
END_TIME: Fri Oct 18 09:52:20 2024
DOWNLOADED: 13836 - FOUND: 5

31331ポートのディレクトリの確認

/css
image.png

/images
image.png

/javascript/jquery/jquery
image.png

1
2
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
1
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?