Brooklyn Nine Nine

✍️ Autor: Fsociety2006 🔍 Dificultad: Fácil

🔍 RECONOCIMIENTO

En primer lugar, tras conectarnos a la máquina, utilizamos el comando:

ping -c 1 10.10.255.194

para verificar la conectividad de red.

A continuación, se realiza el comando:

nmap 10.10.255.194

para realizar un escaneo de puertos y servicios detallado en la dirección IP.

Como podemos observar durante el escaneo, el puerto 21 perteneciendo al servicio FTP, el puerto 22 perteneciente al servicio SSH y el puerto 80 perteneciente al servicio HTTP están abiertos, por lo que se procederá a indagar más.

🔎 EXPLORACIÓN

Se utiliza el comando:

sudo nmap -sCV -p21,22,80 -v 10.10.255.194

para obtener más información sobre esos puertos específicamente.

Seguimos indagando más sobre los puertos y ahora exploramos el servicio HTTP. Se ingresó la dirección IP en el navegador, lo que llevó a que la página web sobre la serie Brooklyn Nine Nine. Nos indica que hay redimensionarlo para verlo completamente la imagen.

De primeras, no se nos muestra nada, por lo que revisamos el código fuente por si hay alguna información oculta relevante.

Nos menciona sobre la técnica de estenografía por lo que descargamos la imagen para aplicar esas técnicas a la imagen para ver si hay información oculta.

wget http://10.10.255.194/brooklyn99.jpg

Ahora que tenemos la imagen, podemos verificar si hay un archivo incrustado en la imagen utilizando el siguiente comando:

steghide info brooklyn99.jpg

Se nos muestra que hay un archivo incrustado en la imagen y que está protegido con una contraseña. Sabiendo esto, utilizamos la herramienta Stegseek para intentar descifrar la contraseña utilizando la lista de contraseñas comúnmente usada, rockyou.txt. El comando sería el siguiente:

stegseek brooklyn99.jpg /usr/share/wordlists/rockyou.txt

Logramos descubrir la contraseña y acceder a los datos ocultos, como se muestra a continuación. Parece tratarse de credenciales del usuario Holt.

Primero intenté iniciar sesión por SSH utilizando las credenciales. Así, conseguimos nuestra primera flag.

Ahora que hemos encontrado la bandera de usuario, ¡necesitamos obtener acceso root!

Después de iniciar sesión como Holt a través de SSH, exploramos los directorios en busca de algo útil. Desafortunadamente, no encontramos nada. Dado que ya hemos explorado el servidor web y el acceso por SSH, nuestro siguiente paso es verificar si podemos hacer algo con FTP. Esto implica comprobar si tiene habilitado el acceso anónimo.

Utilizamos el siguiente comando para ello:

ftp anonymous@10.10.255.194

Listamos el contenido del servidor y vemos que hay un archivo de texto llamado note_to_jake.txt. Procedemos a descargarlo a nuestra máquina.

Al leer el archivo de texto, encontramos nuestra siguiente gran pista: el usuario jake tiene una contraseña débil.

🚀 EXPLOTACIÓN

Con la información obtenida anteriormente, realizamos el comando:

hydra -l jake-P /usr/share/wordlists/rockyou.txt ssh://10.10.255.194 -t 5

que utiliza la herramienta Hydra para realizar un ataque de fuerza bruta contra el servicio SSH de una máquina con la IP 10.10.255.194.

Al realizar el ataque de fuerza bruta, hemos descubierto la contraseña de ese usuario. Sabiendo esto, nos conectamos a través de SSH al usuario con el comando:

ssh jake@10.10.255.194

🔐 PRIVILEGIOS

Al estar dentro y ejecutar:

whoami

aún no somos root, por lo que hacemos:

sudo -l

para ver si hay algo para explotar.

Esto muestra que jake puede ejecutar el binario less con privilegios de sudo. Para ver cómo podemos explotar esto, consultamos GTFOBins, que nos proporciona nuestro exploit.

Ejecutamos el siguiente comando:

sudo less /etc/profile

Luego, escribimos !/bin/sh para abrir una shell con privilegios elevados.

De inmediato, el símbolo del prompt cambia de $ a #, lo que indica que hemos escalado exitosamente nuestros privilegios a root. Luego, navegamos a /root y encontramos nuestra última bandera.