Couch – WriteUp – TryHackMe – Fr

Couch TryHackMe

Couch est une box de TryHackme qui comme son nom l’indique concerne l’exploitation ( basique )  d’une base de donnée couchdb. Il n’y a pas de difficulté particulièrement si ce n’est la réponse à la première question. 

Task 1 Resy Set Go

  • Scan the machine. How many ports are open?

2

Question somme toute un peu difficile. Un simple nmap scan ne permet pas d’afficher les deux ports ouverts, mais seulement le port 22 (ssh). Pour afficher le bon nombre de ports, il faut scanner de manière spécifique le port ssh et le port liée à couchdb.

Commande :

nmap 10.10.153.51 -T5 -sC -sV

Pour afficher le bon nombre de ports, il faut scanner de manière spécifique le port SSH et le port liée à couchdb.

Commande :

nmap 10.10.153.51 -T5 -sC -sV -p 22,5984

  • What is the database management system installed on the server?

couchdb

  • What port is the database management system running on?

5984

  • What is the version of the management system installed on the server?

1.6.1

Pour la dernière question, on a le résultat sur le scan nmap mais on peut aussi la récupérer en allant sur la page web et le port 5984 

Ou en utilisation Curl : 

curl http://10.10.153.51:5984/

  • What is the path for the web administration tool for this database management system?

_utils

  • What is the path to list all databases in the web browser of the database management system?

_all_dbs

Méthode avec CURL : 

curl -X GET http://10.10.153.51:5984/_all_dbs

  • What are the credentials found in the web administration tool?

Redacted

  • Compromise the machine and locate user.txt

Redacted

Pour obtenir les identifiants, il faut se rendre sur la page web, puis sur secret et enfin cliquer sur a1320dd69fb4570d0a3d26df4e000be7

 

Initial access

Les identifiants récupérer doivent être testé sur la connexion SSH

Cool, ça fonctionne. En revanche, sudo -l ne donne pas de résultat…

Dans ce cas, il faut faire soit une énumération via des scripts automatiques soit le faire manuellement. Pour commencer, il faut regarder ce qui se trouve dans le dossier /home ( outre le fichier user.txt) 

Commande :

ls -al 

On peut voir que le fichier .bash_history est lisible et surtout qu’il n’est pas redirigé vers le néant ( /dev/null ) comme c’est souvent le cas dans les ctf

Il faut regarder l’historique de l’utilisateur ( donc le créateur de la box ? )

Commande :

cat .bash_history

Escalade de privilège

Pour passer root, il suffit de copier et exécuter la commande docker suivant :

docker -H 127.0.0.1:2375 run –rm -it –privileged –net=host -v /:/mnt alpine

0 0 votes
Évaluation de l'article
S’abonner
Notifier de
0 Commentaires
Inline Feedbacks
View all comments