Search 🔎🖥️

TryHackMe|Gallery WriteUp\Walkthrough (English)

By

Gallery

Room Link: https://tryhackme.com/r/room/gallery666

================================================================

  • After the Nmap scan, you will see 2 ports open 80 and 8080. 8080 doesn’t have anything interesting. In 80 the main page has the home page for nginx server. Use gobuster to find any hidden directories. There is /gallery.
  • In /gallery you have a login page. Try to see if sqli works on it. 

Enter " ‘ or ‘1’ = ‘1’ -- - " in the username field and see if it allows you to get in, and it did :).

  • Once you are in you can answer the second question which is the CMS, the website uses Simple Image Gallery. Although there is a known vulnerability for this, you don’t need it. Go to albums from the top horizontal menu. Then, click on any of the albums and upload a .php webshell, I used the one from pentestmonkey. Do not forget to change the IP into your IP and set up a netcat listener with the same port number as in the shell.

  • Once you have your webshell uploaded click on it and you will get a shell back on your machine. Do these steps to make your shell more stable and to make it not end any time you do ctrl+c.
    • python3 -c 'import pty; pty.spawn("/bin/bash")'
    • export TERM=xterm
    • Background the shell by ctrl+z
    • stty raw -echo;fg
  • Now you can complete your work :).
  • You will get a shell with the user www-data. Go to the directory of www-data which is /var/www and you can get this info from the /etc/passwd file. cd html then cd gallery and start looking into the files.

The file initialize.php has an interesting content. You can use these information to log in into the mysql server.

mysql --user = gallery_user --password = ********* gallery_db once you are in use gallery_db; >> show tables; >> select * from users; and you will get the hash of the admin’s password.

  • Now you want to get the user flag. First what users are on the system? You can know that by ls /home you have two users mike and ubuntu. You don’t have the permissions to go to mike’s home directory. So upload linpeas.sh to the victim's machine run it and look at the results from the scan.
  • In the picture below the scan retrieved what appears to be a password used after sudo -l command. It might be mike’s.

su mike then provide the password and you will be mike. You can now cd /home/mike and retrieve the user.txt ✨.

  • Now you need to be root in order to read root.txt from the root’s home directory. sudo -l it shows that the user Mike can run the rootkit.sh script with root permissions, nice!.

  • cat /opt/rootkit.sh to see what this script does.

This script checks the version, or update, or list the /usr/bin/rkhunter file. Or you can read the report.txt file from the root’s home directory with nano. In other words, this script allows you to open a nano shell with root privileges.

  • Go to GTFObins and search for nano. Since the binary is allowed to be run as super user you do the following:

    • sudo /bin/bash /opt/rootkit.sh
    • type read and press enter
    • once you are in a nano shell click ctrl+r and ctrl+x and then reset; sh 1>&0 2>&0

and you will be prompted with a root shell. /bin/bash -i >> cat /root/root.txt ✨.

Comments

Post a Comment

Popular posts from this blog

TryHackMe|Blog WriteUp\Walkthrough (Arabic)

By
Image
بسم الله اللي يبغى يشوف الحل مشروح فيديو يرجع للفيديو على قناتي باليوتيوب على هذا الرابط: رابط التحدي:  https://tryhackme.com/r/room/blog ==================================================== كلمة IP في كل الكوماندز اللي أكتبها تُستبدل بالـIP للمشين حقتكم على TryHackMe أول حاجة نشغل الـmachine ونتأكد إننا اتصلنا بشبكة TryHackMe والاتصال مضبوط، بعدين نبدأ بأول خطوة للحل وهي إننا نسوي scan للشبكة باستخدام nmap sudo nmap IP -vv طلع معانا 4 بورتات، نرجع نسوي Aggressive سكان عليها sudo nmap IP -vv -A -p 22,80,139,445 على بورت 22 عندنا SSH ونظام التشغيل لجهاز الضحية هو Ubuntu، وعلى بورت 80 عندنا Apache server، أما بورت 139 و 445 متعلقة بالـsmb. برضو أعطانا في النتائج إن الـhttp generator هو WordPress وبرضو أعطانا رقم النسخة وهو 5.0، وهذه معلومة مفيدة ومهمة.  إذا زرنا الصفحة على بورت 80 في المتصفح، بنلاقي بلوق للمستخدم Billy وفيها بوستات، ولكن ما بداخل هذه البوستات شيء مهم.  و زي ما قال لنا في التحدي، بنضيف الموقع إلى ملف etc/hosts/ على الجهاز الحين بنستفيد من الـsmb على جهاز الض...
Read more

eJPTv2 Exam Review (Arabic)

By
Image
 بسم الله الرحمن الرحيم اختبرت اختبار eJPTv2 والحمدلله حصلت على الشهادة. ← أول شيء، ايش تحتاجون من معرفة سابقة قبل ما تبدؤون الاختبار؟ تحتاجون معرفة بالشبكات ونظام لينكس ونظام ويندوز، في حالة ما كان عندكم معرفة فيها ما بيكفي الكورس اللي يجي مع الشهادة من وجهة نظري، كثير من المواضيع أو اللابات تفترض المعرفة السابقة بهالمواضيع. بالنسبة لويندوز ولينيكس مطلوب فهم التعامل مع النظام بال command line أهم شيء. أما الشبكات تحتاج تكونون فاهمينها كويس وطريقة عملها، لأن في الاختبار بينطلب pivoting وهو الانتقال لشبكة أخرى بواسطة جهاز وسيط تم اختراقه، هذه الخطوة تحتاج فهم جيد للشبكات. إذا كان معاكم معرفة بسيطة بهالمواضيع ممكن تبدؤون الكورس وخلال الدراسة لو في شيء جديد واجهكم تبحثون عنه، لكن إذا مافي معرفة سابقة أنصح بأخذ كورس لأي من النقاط اللي تحتاج منكم تطوير ثم البدء في الشهادة.   ← ثاني شيء، كم أحتاج مدة عشان أحصل على الشهادة ؟ هذه نقطة مهمة 😊 ، المدة تختلف كثييييير لكل شخص ويؤثر عليها هل هذا الشخص سبق وحل تحديات ctf لأنها تعطي مهارة وتسهل بشكل كبير فهم الكورس، برضو تخت...
Read more

TryHackMe|Blueprint WriteUp\Walkthrough (Arabic)

By
Image
بسم الله للي يبغى يشوف الحل مشروح فيديو يرجع للفيديو على قناتي باليوتيوب على هذا الرابط: رابط التحدي:   https://tryhackme.com/r/room/blueprint =========================================================== كلمة IP في كل الكوماندز اللي أكتبها تُستبدل بالـ IP للمشين حقتكم على TryHackMe أول حاجة نشغل الـ machine ونتأكد إننا اتصلنا بشبكة TryHackMe والاتصال مضبوط، بعدين نبدأ بأول خطوة للحل وهي إننا نسوي scan للشبكة باستخدام nmap sudo nmap IP -vv طلع معانا عدد كبير من البورتات، لكن بنترك البورتات اللي أرقامها كبيرة وبنركز على أول 7 بورتات، فنرجع نسوي Aggressive سكان عليها sudo nmap IP -vv -A -p 80,135,139,443,445,3306,8080 من خلال السكان عرفنا إن عندنا على بورت 8080 صفحة Index of  نروح نزور الصفحة ونشوف الملفات اللي بداخلها، إذا رحنا للمتصفح على http://IP:8080 بنلاقي مجلد oscommerce-2.3.4 إذا ضغطنا عليه بيودينا على صفحة فيها مجلدين، نضغط على catalog وبيفتح معانا موقع تجارة إلكترونية ولكن أبدا مو مرتب وتعبان جدا، هذا يعطي احتمال إن هذه النسخة من هذا الموقع قديمة وعل...
Read more