Diff3r3ntS3c - Vulnyx Machine

Diff3r3ntS3c - Vulnyx Machine

Resolución de la maquina Diff3r3ntS3c de Vulnyx

blackpist0l's photo
blackpist0l
·

3 min read

Hola, estimado lector, en ocasión vamos a realizar un CTF... No se lo esperaba, ¿verdad?

Minions Gif 2 By

Bien, en esta ocasión visitaremos la plataforma de Vulnyx para la maquina de hoy, creada por HackCommander, así que, gracias.

Descripción de la maquina.

Sistema Operativo

Linux 🐧

Dificultad

Muy Fácil

Lanzamiento

28/03/2024

Creador

HackCommander

Primer Usuario

Flo2699

Primer Root

Flo2699

Enumeración

Empezando con un escaneo al único puerto abierto, el 80.

Parece una web informativa sobre servicios de ciberseguridad, todo iba tranquilo hasta que me tome con esto...

¿Que mande mi CV? Pero antes... Vamos a probar con un archivo php con una carga útil para nada amigable.

File Upload

Guarde este código en shell.php 🤨

Enviamos...

Bueno podemos confirmar que se esta aplicando una especie de filtro para los archivos subidos, vamos a intentar evadirlo.

Podemos empezar con cambiar la extensión del archivo para evadir el filtro, esto lo podemos hacer con burp suite y una lista valida de extensiones para nuestro archivo php pero diferentes...

Bien, envié el archivo shell.php anterior solo para interceptar la petición.

Y con la utilidad Intruder de burp, podemos remplazar algo del contenido de la petición con alguna lista, en este caso vamos a remplazar la extensión de nuestro archivo shell.php, por:

php
php2
php3
php4
php
php6
php7
phps
phps
pht
phtm
phtml
pgif
shtml
htaccess
phar
inc
hphp
ctp
module

Para saber mas del intruder, le recomiendo este vídeo. Así que, empecemos.

Iniciamos...

Y como es de esperar los archivos .php no los sube.

Ah pero en su mayoría los acepto, como php2, así que usaremos una extensión diferente, aun así con una extensión diferente nuestro código sera interpretado.

En mi caso hice pruebas con las extensiones php2, php5, pHP5, las cuales si me permitía subirlas pero no se establecía la shell reversa, pero hubo una, la cual me funciono sin problema, la extensión phtml

Ahora, subí la shell reversa con el nombre shell.phtml, previamente ya me había colocado en escucha con netcat... ¿Pero alguien tendrá que consultar el recurso para que se ejecutado no?

Para esto realice un fuzzing para tratar de descubrir si había un directorio en el cual se guardaran los archivos subidos.

gobuster dir -u http://192.168.1.72 -w /usr/share/wordlists/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -x php,txt,sql,zip,html,css,js,conf,config,xml -t 100

Y en efecto, tenemos la carpeta /uploads la cual amacena todas nuestras peticiones, como ya realice múltiples pruebas, tenemos múltiples carpetas...

Y después de buscar el archivo subido anteriormente, aquí lo tenemos, así que solo lo consulte...

Y en efecto funciono... Obtuvimos una shell.

Keanu Reeves John Wick GIF - Keanu Reeves John Wick Attack - Descubre y comparte GIF

Escalada de privilegios

Me dispuse a explorar los procesos del sistema con pspy.

Y encontré algo interesante, el usuario root ejecutando un script bajo mi control puede ser... 🤨

En efecto tengo el control de este... Lo elimine, cree otro archivo con el mismo nombre makeBackup.sh, con la diferencia que el código almacenado en este, me proporcionara una shell reversa. 😃

Y aquí lo tiene... Solo sera cuestión de tiempo para que root ejecute el .sh

Suggestive Smile GIF - Suggestive Smile Ryan Reynolds - Discover & Share GIFs

Y ahí lo tenemos, una vez mas fue un placer señor root. ¡Hasta luego!

The Office Farewells GIFs - Find & Share on GIPHY

Did you find this article valuable?

Support BlackPist0l's Blog by becoming a sponsor. Any amount is appreciated!

CTF WriteupVulnyx