TryHackMe / Gotta Catch'em All!

Gotta Catch'em All! es es una máquina de dificultad fácil en la cual practicaremos y afianzaremos conocimientos involucrados en SSH, búsqueda de archivos entre directorios y elevación de privilegios.

*Existen varias maneras de solucionar esta sala vulnerable, os enseñare el método por el cual conseguí completarla, pero siempre podréis investigar por vuestra cuenta y sacar vuestra conclusión.

*Todas las herramientas, protocolos e información considerada relevante tiene sus correspondientes enlaces, por si es necesario documentarse y profundizar.

Enlace a la sala: https://tryhackme.com/room/pokemon

¡Empecemos!

Lanzamos un escaneo con nmap para ver que puertos tiene abiertos la máquina.

Encuentro el 22(SSH) y el 80 (http), por lo cual tenemos una página web la cual investigaremos.

Al entrar en la página web tenemos un documento sobre apache2.

Utilice la herramienta gobuster para ver si tiene directorios ocultos, pero solamente encuentra el index.html sobre apache2.

Al ver esto pensé que si inspeccionaba el código fuente de la página podría encontrar información de utilidad.

En las ultimas líneas del html podemos ver que hay un comentario el cual justo encima hay dos etiquetas las cuales en html no existen como podemos imaginar (<pokemon>:<hack_the_pokemon>).

Anteriormente durante el escaneo de nmap vimos que también teniamos un servidor ssh, es posible que estas dos etiquetas sean alguna clase de credenciales. Probaré.

Estaba en lo cierto, son las credenciales del servidor ssh, ahora ya tengo acceso a la máquina.

Nuestro objetivo será encontrar tres nombres de pokemon's distintos para completar la sala. Tendremos que navegar por los directorios y escalar privilegios.

Lo primero que he encontrado es que en el escritorio existe un archivo comprimido en .zip el cual tenemos permisos para descomprimirlo y ver que el contenido que contiene la carpeta es el nombre de un Pokémon tipo planta el cual esta encriptado en lo que parece ser sistema hexadecimal.

Lo desencriptamos y nos da el primer nombre que buscábamos.

Ahora sabiendo que los archivos que contienen el nombre de los Pokémon se llaman de la misma manera que los iniciados de las preguntas de tryhackme, probé a utilizar el comando locate para ver si me daba la ruta del archivo directamente, y funciono.

Vemos que el nombre de este Pokémon también esta encriptado.

Investigando y probando conseguí encontrar en que sistema esta encriptado y conseguir el texto en claro.

Conseguimos otro, sigamos el mismo método para buscar el Pokémon de tipo fuego.

Este está encriptado en base 64. Desencriptémoslo:

Para el ultimo Pokémon hará falta ser root, por lo cual habrá que ver como hacer la escalada de privilegios.

Indagando por los directorios de la máquina encontré varias carpetas, en la ultima encuentro un archivo un tanto extraño, el cual su contenido nos otorga las credenciales del usuario root.

Con esta información ya podemos elevar privilegios a superusuario y encontrar el ultimo Pokémon que nos falta para completar la sala.

Y aquí lo tenemos.

¡Enhorabuena! Una mas o una menos. ( ͡° ͜ʖ ͡°)