Keeper é uma máquina Linux de dificuldade fácil. Nela é preciso acessar uma aplicação web com o uso de credenciais padrão e depois recuperar a senha mestra do keepass de um dump da memória.
Com um scan do nmap encontra-se duas portas abertas nessa máquina, 80 de uma aplicação web e 22 de ssh.
No site há apenas um link redirecionando para um subdomínio. Então é necessário adicionar o domínio keeper.htb ao arquivo de hosts local.
Nesse subdomínio de tickets encontramos uma página de login para uma ferramenta de gerenciamento de tickets chamada Request Tracker.
Pesquisando no google podemos encontrar as credenciais root:password como sendo a padrão da aplicação e é possível logar com ela.
Depois de fazer o login podemos encontrar um ticket do root falando de um dump do crash do keepass e o usuário lnorgaard informando que salvou na sua home. E visualisando o perfil desse usuário é possível encontrar a senha dele nos comentários.
Com essa senha podemos acessar a máquina como o usuário lnorgaard. Na home dele já encontramos a primeira flag e um zip com os arquivos mencionados no ticket.
Eu então tranferi o zip pra a minha máquina e descomprimi. Tinha um dump de memória e um banco de dados do KeePass.
Com a PoC desenvolvida pelo CMEPW foi possível recuperar no algumas possíveis senhas para o keepass. Nenhuma dessas senhas funciona devido a codificação do caracter ø. A senha é “rødgrød med fløde” que é um doce dinamarquês.
Assim, com a senha podemos acessar o keepass e ver o que foi salvo nele. Sendo que há uma nota com as chaves pública e privada do PuTTY para acessar como root na máquina.
Como eu não tenho PuTTY instalado, converti a chave para o padrão de SSH e consegui acessar. Com isso obtive a flag de root.
