TryHackMe: Chocolate Factory Writeup

Januari 19, 2021 Februari 13, 2021

Oke selamat datang di blog skullxploit. Kali ini ge bakal main tryhackme lagi, stelah sekian lama ga pernah maen :v. Kayak yang kalian liat di judul gw bakal maen di room Chocolate Factory. Buat yang males baca bisa langsung scroll kebawah ada video nya :). Okelah simak gess.

# Enumerating

Hasil Scan Nmap :

# Nmap 7.91 scan initiated Tue Jan 19 21:56:20 2021 as: nmap -oN nmap.txt -vv 10.10.17.65
Nmap scan report for 10.10.17.65
Host is up, received reset ttl 63 (0.33s latency).
Scanned at 2021-01-19 21:56:21 WIB for 74s
Not shown: 989 closed ports
Reason: 989 resets
PORT    STATE SERVICE   REASON
21/tcp  open  ftp       syn-ack ttl 63
22/tcp  open  ssh       syn-ack ttl 63
80/tcp  open  http      syn-ack ttl 63
100/tcp open  newacct   syn-ack ttl 63
106/tcp open  pop3pw    syn-ack ttl 63
109/tcp open  pop2      syn-ack ttl 63
110/tcp open  pop3      syn-ack ttl 63
111/tcp open  rpcbind   syn-ack ttl 63
113/tcp open  ident     syn-ack ttl 63
119/tcp open  nntp      syn-ack ttl 63
125/tcp open  locus-map syn-ack ttl 63

Read data files from: /usr/bin/../share/nmap
# Nmap done at Tue Jan 19 21:57:35 2021 -- 1 IP address (1 host up) scanned in 75.13 seconds

Hasil fuzzing dengan Gobuster :

===============================================================
Gobuster v3.0.1
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@_FireFart_)
===============================================================
[+] Url:            http://10.10.17.65
[+] Threads:        10
[+] Wordlist:       /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt
[+] Status codes:   200,204,301,302,307,401,403
[+] User Agent:     gobuster/3.0.1
[+] Extensions:     php
[+] Timeout:        10s
===============================================================
2021/01/19 21:57:16 Starting gobuster
===============================================================
/home.php (Status: 200)

# FTP Anon

Oke dilihat dari hasil nmap tadi gw mencoba buat ngecek ftp nya open buat anonymous apa tidak, ternyata ftp nya open dengan user anonymous. Di dalem ftp nya ada sebuah file image dengan nama gum_room.jpg pas gw coba extract dengan steghide gw nemuin file b64.txt yang isi nya cuma tulisan chiper base64 aja. Pas gw coba decode ternyata isinya itu sama kaya isi dari file /etc/shadow

Dan disini gw sekip buat crack password di file shadow nya karna lama :v.

# Reverse Shell

Di hasil gobuster kita dapet 1 file yang nama nya home.php, Mari kita cek isi nya apa

Wuihh ada sebuah form yang ada tulisan command, mari kita coba ketik command sederhana di situ

Wadaw sangat epik sekalii, kita bisa meng eksekusi command yang ada di *nix :). Oke saat nya disini kita pasanag reverse shell agar mempermudah kita nanti nya.Dan disitu kita liat ada 1 file yang nama nya key_rev_key yang membuat gw penasaran banget apa isinya. Disitu langsung gw download file nya dan disitu ada flag pertama kita yaitu sebuah key yang akan kita gunain nanti nya.

Nah oke gimana gw bisa dapet nama yang bener?? kalian bisa gunain tools yang sudah ada di linux seperti strings ataupun hexdump. Disini kita belom tau apa maksud dari key itu. Kita skip aja lanjut ke selanjutnya kita bakal pasang reverse shell dulu.

#Jawaban 2

nah okeh setelah gw coba pangil reverse shell dan berhasil. disini ge kepo sama 1 file yaitu validate.php jadi gw coba mau liat isi dalem nya dangw dapet user dan pass yaitu charlie dan password nya cn7824 yang kalau kita submit ke webtyhackme yang soal What's Charlie's Password?? itu bakal succces. Dah gitu aw kalian ga susah susah bruteforce file shadow yang kita dapet tadi buat nemu password nya si charlie :v

# SSH Private Key

Okeh jadi disini gw sedikit stuke tadi :v. terus gw coba kepo kepo liat directory home punya nya si charlie yang ada di /home/charlie dan disana gw nemu 1 file yang nama nya teleport yang isi nya ternyata sebuah private key dari ssh :v.

Okeh disini kita langsung coba login ssh mengunakan private key yang kita dapat tadi :v

Dan okeh kita gaperli membruteforce dah masuk ke dalam ssh nya. Dan sekarang kita menjadi user charlie :). Dan sekarang kita bisa melihat user flag yang ada di directory home dari charlie :)

# Previlage Escalation

Oke kita ke tahap terakhir, sekarang kita harus mencari privesc agar kita bisa menjadi user root dan bisa melihat isi di dalam folder /root. Yah karna ini type nya easy disini gw udah neu privesc nya. kalian ketikan saja sudo -l di terminal.

charlie@chocolate-factory:/$ sudo -l
Matching Defaults entries for charlie on chocolate-factory:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin

User charlie may run the following commands on chocolate-factory:
    (ALL : !root) NOPASSWD: /usr/bin/vi
charlie@chocolate-factory:/$

Dan okeh kita langsung dapet cara buat privesc nya. langsung aja masukin command :

sudo vi -c ':!/bin/sh' /dev/null

Dan sekarang kita sudah menjadi user root.

Oke langsung kita cek kedalam folder /root nya, disana ada 1 file python root.py kalau kita jalankan kita akan diminta memasukan sebuah key. Kalian masukan saya key yang sudah kita dapat di awal awal tadi. Dan sudah, kita telah menyelesaikan challange ini :)

Semoga dapat membantu :0. Seeyaaa.

ctf