Belajar pentest basics dengan simple CTF

Intro

Simple CTF - Beginner Level CTF adalah salah satu room TryHackMe yang cukup bagus untuk belajar pentest basics. Kalau kita review writeups yang ada semua terlihat simple dan similiar, terlebih lagi di CTF ini tahapannya sangat berurutan mulai dari Scanning, Enumeration, Exploitation hingga Privilege Escalation.

CTF ini benar-benar memberikan pondasi dan edukasi simple bagaimana pentest itu dilakukan ketika kita hanya memiliki sebuah informasi yaitu 'IP-Address'.

TryHackMe | Cyber Security Training

An online platform for learning and teaching cyber security, all through your browser.

TryHackMe

Challenges

Sedikitnya ada 10 challenges yang perlu diselesaikan sebagai berikut:

1. How many services are running under port 1000?
2. What is running on the higher port?
3. What's the CVE you're using against the application?
4. To what kind of vulnerability is the application vulnerable?
5. What's the password?
6. Where can you login with the details obtained?
7. What's the user flag?
8. Is there any other user in the home directory? What's its name?
9. What can you leverage to spawn a privileged shell?
10. What's the root flag?

🎯 Target

Klasifikasi dan Modeling

Biar lebih mudah kita buat klasifikasi dan modeling nya sebagai berikut:

• Pertanyaan 1 dan 2, keywordnya adalah 'ports' – Check open & closed ports masuk dalam tahap Scanning
• Pertanyaan 3 dan 4, keywordnya adalah 'CVE - Vulnerability' – identifikasi vuln cve kita masukan di tahap Enumeration
• Pertanyaan 5 dan 6, keywordnya adalah 'password' & 'login' – password cracking ini kita masukan kedalam tahap Exploitation
• Pertanyaan 7, 8 , 9 dan 10 keywordnya adalah 'user', home directory maupun root – karena sudah masuk kedalam sistem, maka tahap ini kita sebut dengan Privilege Escalation.

Steps

Berikut step by stepnya