TryHackMe:Pickle Rick (Write-up)

2021年3月15日

TryHackMeを続けていますが、月額1000円なので適当なゲームなんかより全然楽しめるし最高ですね。
とりあえず知ってるつもりで知らない事なども沢山あるだろうって事で、COMPLETE BEGINNERからやっています。
色々と進んできてやっとPickle RickというCTFまで来たので、記事を書いてみようと思います。

目次

1.なにはともあれnmap!

とりあえず目標のサーバーを起動したらnmapを行います。ポートどこが開いてるのかも分からないとどうしようもないですからね。
どこから攻めるべきかみたいので、Metasploitからdb_nmapを行ってみました。
sshの22番とhttpの80番が開いているようです。
とりあえずブラウザからアクセスしてみます。
とりあえずページのソースを見てみましょう。
UsernameはR1ckRul3sというのが分かりました。他の情報がないか調べてみます。

2.dirsearch

サイトの構造を確認するために、dirsearchを行います。
GitHub
 
maurosoria/dirsearch
https://github.com/maurosoria/dirsearch
Web path scanner. Contribute to maurosoria/dirsearch development by creating an account on GitHub.
レポートを確認してみます。 

403   298B   http://10.10.15.168:80/.ht_wsr.txt
403   301B   http://10.10.15.168:80/.htaccess.bak1
403   301B   http://10.10.15.168:80/.htaccess.orig
403   303B   http://10.10.15.168:80/.htaccess.sample
403   301B   http://10.10.15.168:80/.htaccess.save
403   299B   http://10.10.15.168:80/.htaccessBAK
403   299B   http://10.10.15.168:80/.htaccessOLD
403   300B   http://10.10.15.168:80/.htaccessOLD2
403   302B   http://10.10.15.168:80/.htaccess_extra
403   299B   http://10.10.15.168:80/.htaccess_sc
403   301B   http://10.10.15.168:80/.htaccess_orig
403   291B   http://10.10.15.168:80/.htm
403   292B   http://10.10.15.168:80/.html
403   301B   http://10.10.15.168:80/.htpasswd_test
403   297B   http://10.10.15.168:80/.htpasswds
403   298B   http://10.10.15.168:80/.httr-oauth
403   292B   http://10.10.15.168:80/.php3
403   291B   http://10.10.15.168:80/.php
301   313B   http://10.10.15.168:80/assets    -> REDIRECTS TO: http://10.10.15.168/assets/
200     2KB  http://10.10.15.168:80/assets/
200     1KB  http://10.10.15.168:80/index.html
200   882B   http://10.10.15.168:80/login.php
200    17B   http://10.10.15.168:80/robots.txt
403   300B   http://10.10.15.168:80/server-status
403   301B   http://10.10.15.168:80/server-status/
目につくのは ・login.php
・robots.txt あたりでしょうか、ちょっと確認してみましょう。 

robots.txt
Wubbalubbadubdub
robots.txt内容は本来、Arrow,Disarrow,Sitemapなどを書くのが普通ですが、これは変です。

3.ログインしてみる

とりあえず、さっきのUsernameとrobots.txtの内容でログインしてみます。
すんなりログインできました。 ログインした先はコマンド実行ページになっています。どんなコマンドが実行できるのか分からないのでとりあえず、ls -alhを試してみます。 
Sup3rS3cretPickl3Ingred.txt
Sup3rS3cretPickl3Ingred.txtが気になります。catで中を見てみましょう。
catコマンドは無効にされているようです。
でも、これwebのホームディレクトリなので、http://10.10.15.168/Sup3rS3cretPickl3Ingred.txtを試してみましょう。
でました。1個目のフラグゲットです。

4.2つ目のフラグ

このサーバーはコマンドインジェクションに弱いのとubunntuベースな事は分かっているので、 

ls -alh /home
で他のユーザーの情報をのぞいてみます。
rickってユーザーがだけですね。rickが気になります。中を見てみます。
catはブロックされているので他のコマンドを試してみます。 

sudo -l
sudo使うときにはパスワードは要求されないようです。 

more /home/rick/"second ingredients"
ファイルにスペースが含まれているので””でくくってあります。moreもブロックされていました。じゃあlessを試してみましょう。 

less /home/rick/"second ingredients"
とおりました!2個目のフラグも回収です。

4.最後のフラグ

あとは、どこにフラグがあるかを探すだけですね。 とりあえず、rootディレクトリの中を見てみましょう。 

sudo ls -alh /root



sudo less /root/3rd.txt
お疲れさまでした!
さらっと書いてますが意外と苦労して楽しかったです。

TryHackMe,Tech

Posted by 63n