一部を■で隠しています。
Task 1: Website Analysis
ひとつずつ特定していこう。
まずはnmapをして、あとはひたすらwebsiteをクロールして情報を探していく。
Burp Suite Professionalを実費で買ったので自動クロールとかしてもらって、検索機能使って洗い出していった。
- web serverのポートは?
- nmapをやれば分かる
- リモートデスクトップのポートは?
- これもnmapをやれば分かる
- web crawlerのチェックした1つのページにあるパスワードは?
- /robots.txtに書いてある
- 使っているCMSは?
- これも/robots.txtに書いてある
- ドメイン名は?
- サイトのタイトルを見れば一目瞭然ですね。
- adminの名前は?
/archive/a-cheers-to-our-it-department/
を見るとadminが書いたとされる詩が紹介される。一文目でググると名前が出てくるのでそれを答える
- adminのメールアドレスは?
Task 2: Spot the flags
やんわり探すとフラグはTHM{****}
の形になっていそう。
THM\{[^\}]*\}
の正規表現を使って、Logger++のGrep Valuesを使うとちょうど4つ出てくる。
文字数と照らし合わせながら答えを埋めていこう。
Task 3: Final stage
まずはリモートデスクトップでログイン
これまでTryHackMeに提出した答えからユーザー名とパスワードを導ける。
パスワードは1つしかないのでそれを使う。
ユーザー名はメールアドレスのユーザー名部分を使うといい。
リモートデスクトップ接続を普通に使ってログインすると、デスクトップにuser.txtがある。
管理者パスワードを探す
Hintを見るとIt is hidden.
とあるので、ls -force
を使ってひたすら探すと、c:\backup
といういかにもなフォルダが見つかる。
中にはrestore.txtというファイルがあり、サイズも小さいのでこれが答えっぽい。
PS C:\backup> cat restore.txt cat : Access to the path 'C:\backup\restore.txt' is denied. At line:1 char:1 + cat restore.txt + ~~~~~~~~~~~~~~~ + CategoryInfo : PermissionDenied: (C:\backup\restore.txt:String) [Get-Content], UnauthorizedAccessException + FullyQualifiedErrorId : GetContentReaderUnauthorizedAccessError,Microsoft.PowerShell.Commands.GetContentCommand
うーん。分からん!
Writeupをちょっとみる
なんと権限を上書きできるようだ。
PS C:\backup> icacls C:\backup\restore.txt /grant Everyone:F processed file: C:\backup\restore.txt Successfully processed 1 files; Failed processing 0 files PS C:\backup> cat restore.txt ■■■■■■■■■■■■■■■■
icaclsを使えばどんな時でも上書きできるんだろうか…
分からんな…
管理者権限でフラグを探す
Win+R
でファイル名を指定して実行を開いて、powershell
と打ってCtrl+Shift+Enter
で管理者実行する。
root.txtというファイル名は分かっているので探して開こう。
PS C:\Users\Administrator> Get-ChildItem -Path c:\ -Filte root.txt -Recurse Directory: C:\Users\Administrator\Desktop Mode LastWriteTime Length Name ---- ------------- ------ ---- -a---- 05/04/2020 11:54 17 root.txt PS C:\Users\Administrator> cd Desktop PS C:\Users\Administrator\Desktop> cat root.txt ■■■■■■■■■■■■
ok.