LoginSignup
1
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

@yuudee

TryHackMe Writeup:Cyborg

Last updated at Posted at 2024-02-27

はじめに

今回はTryHackMeの難易度Easyのルーム「Cyborg」のWriteupを書きたいと思います.
なんか強そうなルーム名ですね.

Task1

これはマシンを起動するだけですね.

Task2

おなじみのマシンに侵入してuser.txtroot.txtを見つけてね.ということみたいです.

ポートスキャン

いつも通りまずポートスキャンです.
sudo nmap -p- -vv -T4 -O -sV 10.10.242.182
Pasted image 20240227134333.png
22番でsshが,80番でhttpが動いているみたいですね.これで1問目と2問目は解けますね.

ディレクトリ探索

次はディレクトリ探索です.
sudo gobuster dir -u 10.10.242.182 -w /usr/share/wordlists/dirb/common.txt -o gobuster_dir.log
Pasted image 20240227135610.png
adminetcというディレクトリがあるみたいですね.

ブラウザで接続

まずは/etcから見てみます.
Pasted image 20240227135701.png
Pasted image 20240227135743.png
こんな感じになってました.
passwdにはmusic_archive:$apr1$BpZ.Q.1m$F0qqPwHSOG50URuOVQTTn.という文字列が書かれていました.hash-identifierで調べるとMD5らしいです.
このハッシュの部分を書きだします.
echo <ハッシュ値> > hash.txt

john the ripperで解析します.
john -w /usr/share/wordlist/rockyou.txt hash.txt

*ここで当てはまるもパスワードがなく,1時間ほど使いましたが上手くいかないので他の方のwriteupを見て解析結果だけ見ました.(使ってるwordlist同じなのになんで出なかったんだろ…わかる方いますか?)

squid.confは以下のような内容でした.
これは特に使わなかったですね.

auth_param basic program /usr/lib64/squid/basic_ncsa_auth /etc/squid/passwd
auth_param basic children 5
auth_param basic realm Squid Basic Authentication
auth_param basic credentialsttl 2 hours
acl auth_users proxy_auth REQUIRED
http_access allow auth_users

続いて/adminを見てみます.
Pasted image 20240227140008.png
管理画面っぽいものが出てきました.
上のバーのところにArchive→Downloadという項目からarchive.tarがダウンロードできるのでこれを解凍してみます.
tar -xvf archive.tar
Pasted image 20240227151026.png
何かいろいろ入ってますね.
READMEを見てみると
Pasted image 20240227143433.png
borgbackupというのを使ってるみたいですね.
BorgBackupとは高速にバックアップが行えるツールのことのようです.
これを何とかして復元していきます.
borg list home/field/dev/final_archive
ここでパスワードを求められるので,先ほどのjohnで解析したパスワードを入力します.
Pasted image 20240227215119.png
music_archiveというのがありますね.
mkdir music_archive
borg mount ./home/field/dev/final_archive::music_archive ./music_archiveで復元します.

*この時borg mount not available: no FUSE support, BORG_FUSE_IMPL=pyfuse3.というエラーに苦戦しました.ここを参考にpip install pkgconfigしたらいけました.

復元後,alexというディレクトリがあります.
user.txtを探してみます.
find ./ -name user.txt
ありませんね.

それぞれのディレクトリを見ていくとDocument/note.txt
Pasted image 20240227215815.png
がありました.sshのパスワードですかね?

やってみます.
ssh alex@10.10.160.224でパスワードは上のもの.
Pasted image 20240227220005.png
入れましたね.

Privilege escalation

ヒントにThere might be an interesting file running as root.とあったのでsudo -lを試してみます.
Pasted image 20240227220721.png
backup.shがパスワード無しで実行できるみたいですね.
中身を見てみると実行時に-cオプションの後にコマンドを与えるとそれがrootとして実行されるようです.
chmod 777 /etc/mp3backups/backup.sh
/etc/mp3backups/backup.sh -c /bin/bash
これでrootに昇格できました.
flagは/root/root.txtにあります.
*コマンド入力しても出てこないなと思ったらexitしたらまとめて出てきました笑
Pasted image 20240227223513.png

終わりに

ハッシュ解析のところは初めてにしては文字列を見ただけでハッシュかなと考えることができたのは成長かなと思います.
それにしてもなんで解析できなかったのかは不明です.何かわかる人いたら教えてほしいです.
ルーム名のCyborgはborgbackupとかかってるんですかね?笑

1
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?