Search 🔎🖥️

TryHackMe|WonderLand WriteUp\Walkthrough (English)

By

Wonderland

Room Link: https://tryhackme.com/r/room/wonderland
================================================================
  • After an Nmap scan, you will notice that you have 2 open ports, 22 and 80.
  • Go to port 80. There you will find a text and a picture. Run gobuster on the target to see if there are any hidden folders. you got 2 hidden folders /img and /r. The /img folder has 3 pictures in it, download them for further inspection.
  • Using exiftool there is nothing. Trying binwalk -e [picture name] and also there is nothing except that alice_door.png has a zlib file in it, that has nothing interesting. Moving on to steghide, with steghide we've found a file called hint.txt embedded in it.

Extract this file steghide extract -sf white_rabbit_1.jpgThe hint is:

 

Which is not clear right now but it will be :).
  • We have another folder that we need to inspect. The /r folder. If you continue to run gobuster on the subfolders, you will get more one-letter folders.

Now from the hint we can assume that the folders end with /r/a/b/b/i/t.
  • Go to http://IP/r/a/b/b/i/t and look into the source code. You will find a hidden text which contains the password for Alice. Use this password to log in via SSH.

  • Once you are in. look around the machine. from ls /home you will see that you have 4 users: alice, hatter, rabbit, tryhackme. In Alice’s home directory, you don’t have the flag, but the hint on the website tells you that (everything is upside down here). If you look at the contents of this home directory you will find the root.txt so you can assume that the user.txt is in the roots home directory cat /root/user.txt and you will get the user flag ✨.
  • Now you need to get the root.txt. To be able to read this file you need root privileges. Transfer linpeas.sh to the victim machine using python http server and change it to an executable. If you execute the script, you will see a PE vector with a chance of 95%.
The problem here is that the only user that can execute perl is hatter. So you need to be hatter.
  • Use sudo -l to see what commands Alice can run as root.

So Alice can only run this code in Python with sudo and as the user rabbit. It must be something there😉.
  • If you look into this code. It is a simple code that prints a random 10 lines from the poem. We can see that the code imports random. We can leverage this by creating our own random that the code will call and execute. vim random.py then type these two lines in it, save it and change its permissions to +x.
  • Now run this code using sudo -u rabbit /usr/bin/python3.6 /home/alice/walrus_and_the_carpenter.py and you will get a rabbit shell immediately.
  • Now you are rabbit. Go to his home directory. And you will find a setuid file. This file is owned and executed by root. If you tried to run this file you will see that it prints the date and tell you to ask questions.

If you tried to use strings to look into it, strings is not in this machine so transfer the file to your attacker machine to inspect it. There are multiple ways to transfer the file into your machine, I used netcat here.

  • strings teaParty you will notice that it called date without specifying an absolute path, so you can manipulate that. Create a file called date and in it write these two lines:

Save it in /tmp and change its permissions to be executable. Now for this script to be executed we need to add /tmp to the PATH.  

 

 

Now every time a program is called without specifying an absolute path, our shell will first look in /tmp.
  • Now execute the teaParty setuid and you will get a hatter shell.

If you run the id command you will notice that you are still in rabbit group. To change that you can use the password provided in hatter’s home directory then login as hatter.

  • Remember the linpeas.sh results? now we can use it to get root. Search for Perl in GTFObins https://gtfobins.github.io/gtfobins/perl/#capabilities, you only need to execute this command perl -e 'use POSIX qw(setuid); POSIX::setuid(0); exec "/bin/sh";' and you will get a root shell.

To change the group run sudo su, then cat /home/alice/root.txt and you now have the root flag ✨.

Comments

Post a Comment

Popular posts from this blog

TryHackMe|Blog WriteUp\Walkthrough (Arabic)

By
Image
بسم الله اللي يبغى يشوف الحل مشروح فيديو يرجع للفيديو على قناتي باليوتيوب على هذا الرابط: رابط التحدي:  https://tryhackme.com/r/room/blog ==================================================== كلمة IP في كل الكوماندز اللي أكتبها تُستبدل بالـIP للمشين حقتكم على TryHackMe أول حاجة نشغل الـmachine ونتأكد إننا اتصلنا بشبكة TryHackMe والاتصال مضبوط، بعدين نبدأ بأول خطوة للحل وهي إننا نسوي scan للشبكة باستخدام nmap sudo nmap IP -vv طلع معانا 4 بورتات، نرجع نسوي Aggressive سكان عليها sudo nmap IP -vv -A -p 22,80,139,445 على بورت 22 عندنا SSH ونظام التشغيل لجهاز الضحية هو Ubuntu، وعلى بورت 80 عندنا Apache server، أما بورت 139 و 445 متعلقة بالـsmb. برضو أعطانا في النتائج إن الـhttp generator هو WordPress وبرضو أعطانا رقم النسخة وهو 5.0، وهذه معلومة مفيدة ومهمة.  إذا زرنا الصفحة على بورت 80 في المتصفح، بنلاقي بلوق للمستخدم Billy وفيها بوستات، ولكن ما بداخل هذه البوستات شيء مهم.  و زي ما قال لنا في التحدي، بنضيف الموقع إلى ملف etc/hosts/ على الجهاز الحين بنستفيد من الـsmb على جهاز الض...
Read more

eJPTv2 Exam Review (Arabic)

By
Image
 بسم الله الرحمن الرحيم اختبرت اختبار eJPTv2 والحمدلله حصلت على الشهادة. ← أول شيء، ايش تحتاجون من معرفة سابقة قبل ما تبدؤون الاختبار؟ تحتاجون معرفة بالشبكات ونظام لينكس ونظام ويندوز، في حالة ما كان عندكم معرفة فيها ما بيكفي الكورس اللي يجي مع الشهادة من وجهة نظري، كثير من المواضيع أو اللابات تفترض المعرفة السابقة بهالمواضيع. بالنسبة لويندوز ولينيكس مطلوب فهم التعامل مع النظام بال command line أهم شيء. أما الشبكات تحتاج تكونون فاهمينها كويس وطريقة عملها، لأن في الاختبار بينطلب pivoting وهو الانتقال لشبكة أخرى بواسطة جهاز وسيط تم اختراقه، هذه الخطوة تحتاج فهم جيد للشبكات. إذا كان معاكم معرفة بسيطة بهالمواضيع ممكن تبدؤون الكورس وخلال الدراسة لو في شيء جديد واجهكم تبحثون عنه، لكن إذا مافي معرفة سابقة أنصح بأخذ كورس لأي من النقاط اللي تحتاج منكم تطوير ثم البدء في الشهادة.   ← ثاني شيء، كم أحتاج مدة عشان أحصل على الشهادة ؟ هذه نقطة مهمة 😊 ، المدة تختلف كثييييير لكل شخص ويؤثر عليها هل هذا الشخص سبق وحل تحديات ctf لأنها تعطي مهارة وتسهل بشكل كبير فهم الكورس، برضو تخت...
Read more

TryHackMe|Blueprint WriteUp\Walkthrough (Arabic)

By
Image
بسم الله للي يبغى يشوف الحل مشروح فيديو يرجع للفيديو على قناتي باليوتيوب على هذا الرابط: رابط التحدي:   https://tryhackme.com/r/room/blueprint =========================================================== كلمة IP في كل الكوماندز اللي أكتبها تُستبدل بالـ IP للمشين حقتكم على TryHackMe أول حاجة نشغل الـ machine ونتأكد إننا اتصلنا بشبكة TryHackMe والاتصال مضبوط، بعدين نبدأ بأول خطوة للحل وهي إننا نسوي scan للشبكة باستخدام nmap sudo nmap IP -vv طلع معانا عدد كبير من البورتات، لكن بنترك البورتات اللي أرقامها كبيرة وبنركز على أول 7 بورتات، فنرجع نسوي Aggressive سكان عليها sudo nmap IP -vv -A -p 80,135,139,443,445,3306,8080 من خلال السكان عرفنا إن عندنا على بورت 8080 صفحة Index of  نروح نزور الصفحة ونشوف الملفات اللي بداخلها، إذا رحنا للمتصفح على http://IP:8080 بنلاقي مجلد oscommerce-2.3.4 إذا ضغطنا عليه بيودينا على صفحة فيها مجلدين، نضغط على catalog وبيفتح معانا موقع تجارة إلكترونية ولكن أبدا مو مرتب وتعبان جدا، هذا يعطي احتمال إن هذه النسخة من هذا الموقع قديمة وعل...
Read more