概要
TryHackMe「Anthem」のWalkthroughです。
Task1
Q2.What port is for the web server?
ポートスキャンを実行します。
$ nmap -Pn --min-rate 1000 10.10.207.208 -oN nmap_result
PORT STATE SERVICE VERSION
80/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-title: Anthem.com - Welcome to our blog
3389/tcp open ms-wbt-server Microsoft Terminal Services
| ssl-cert: Subject: commonName=WIN-LU09299160F
| Not valid before: 2024-09-02T02:15:41
|_Not valid after: 2025-03-04T02:15:41
| rdp-ntlm-info:
| Target_Name: WIN-LU09299160F
| NetBIOS_Domain_Name: WIN-LU09299160F
| NetBIOS_Computer_Name: WIN-LU09299160F
| DNS_Domain_Name: WIN-LU09299160F
| DNS_Computer_Name: WIN-LU09299160F
| Product_Version: 10.0.17763
|_ System_Time: 2024-09-03T02:21:16+00:00
|_ssl-date: 2024-09-03T02:22:09+00:00; 0s from scanner time.
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows
ポートの稼働状況が分かりました。
| ポート | サービス | バージョン |
|---|---|---|
| 80 | http | Microsoft HTTPAPI httpd 2.0 |
| 3389 | rdp | Product_Version: 10.0.17763 |
80番ポートにアクセスするとWebページが表示されました。
/etc/hostsにドメインを追記します。
10.10.207.208 anthem.com
A.80
Q3.What port is for remote desktop service?
3389ポートでMicrosoft Terminal Servicesが動作していると分かりました。
A.3389
Q4.What is a possible password in one of the pages web crawlers check for?
Hint.fill in the gap ******.txt
80番ポートのディレクトリ列挙をします。
$ dirsearch -u http://anthem.com
[02:49:10] 403 - 312B - /%2e%2e//google.com
[02:49:11] 403 - 312B - /.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd
[02:49:45] 301 - 149B - /.vscode -> http://anthem.com/.vscode/
[02:50:05] 403 - 312B - /\..\..\..\..\..\..\..\..\..\etc\passwd
[02:53:41] 301 - 118B - /archive -> /
[02:53:42] 301 - 118B - /archive.aspx -> /
[02:54:11] 500 - 45B - /base/static/c
[02:54:23] 200 - 5KB - /blog/
[02:54:23] 200 - 5KB - /blog
[02:54:40] 200 - 3KB - /categories
[02:54:42] 403 - 312B - /cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd
[02:57:33] 302 - 126B - /INSTALL -> /umbraco/
[02:57:33] 302 - 126B - /Install -> /umbraco/
[02:57:33] 302 - 126B - /install -> /umbraco/
[02:57:34] 302 - 126B - /install/ -> /umbraco/
[03:01:17] 200 - 192B - /robots.txt
[03:01:21] 200 - 2KB - /rss
[03:01:28] 200 - 3KB - /Search
[03:01:28] 200 - 3KB - /search
[03:01:53] 200 - 1KB - /sitemap
[03:02:43] 200 - 3KB - /tags
[03:03:10] 403 - 2KB - /Trace.axd
/robots.txtを見るとUmbracoIsTheBest!という文字列を発見しました。
UmbracoIsTheBest!
# Use for all search robots
User-agent: *
# Define the directories not to crawl
Disallow: /bin/
Disallow: /config/
Disallow: /umbraco/
Disallow: /umbraco_client/
A.UmbracoIsTheBest!
Q5.What CMS is the website using?
/robots.txtの文字列やディレクトリ構成からUmbraco CMSが利用されていると分かりました。
A.Umbraco
Q6.What is the domain of the website?
Webのインデックスページからanthem.comというドメインが分かっています。
A.anthem.com
Q7.What's the name of the Administrator
Hint.Consult the Oracle.(your favourite search engine)
/archive/a-cheers-to-our-it-department/のコンテンツを確認するとWebサイトの管理者について言及されたポエムがあります。
ポエムの内容を検索するとソロモン・グランディがヒットしました。
A.Solomon Grundy
Q8.Can we find find the email address of the administrator?
Hint.There is another email address on the website that should help us figuring out the email pattern used by the administrator.
/archive/we-are-hiring/にアクセスするとAuthorがJane Doeで、メールアドレスがJD@anthem.comに設定されていると分かりました。
このことからメールアドレスはイニシャル+@anthem.comだと予測できます。
A.SG@anthem.com
Task2
Q1.What is flag 1?
Hint.Have we inspected the pages yet?
/archive/we-are-hiring/のソースコードからフラグを入手できます。
A.THM{L0L_WH0_US3S_M3T4}
Q2.What is flag 2?
Hint.Search for it
ルートページのソースコードからフラグを入手できます。
A.THM{G!T_G00D}
Q3.What is flag 3?
Hint.Profile
/authors/jane-doe/にアクセスし、Jane Doeのプロフィールを確認するとフラグを入手できます。
A.THM{L0L_WH0_D15}
Q4.What is flag 4?
Hint.Have we inspected all the pages yet?
/archive/a-cheers-to-our-it-department/ページのソースコードからフラグを入手できます。
A.THM{AN0TH3R_M3TA}
Task3
Q2.Gain initial access to the machine, what is the contents of user.txt?
/umbraco/にアクセスするとログインページが表示されました。
これまでの列挙情報からUsername: SG@anthem.com,Password: UmbracoIsTheBest!が分かっています。
ログインに成功しました。
また、3389番ポートにもアクセス出来ました。
$ rdesktop -u SG 10.10.228.100
デスクトップにあるuser.txtからフラグを入手できます。
A.THM{N00T_NO0T}
Q3.Can we spot the admin password?
Hint.It is hidden.
隠しフォルダーの表示を有効にするとC:/backupを発見できます。
C:/backup/restore.txtがありますが、閲覧権限がありません。
権限を付与します。
Properties->Security->Edit->Addを選択し、SGユーザーを追加します。
SGと入力後Check Namesボタンをクリックすれば、自動でフルパスを入力してくれます。
Applyボタンをクリックして有効化しファイルの中身を閲覧できました。
A.ChangeMeBaby1MoreTime
Q4.Escalate your privileges to root, what is the contents of root.txt?
C:/Users/Administrator/Desktop/root.txtからフラグを入手できます。
A.THM{Y0U_4R3_1337}