Domain - DockerLab

Domain - DockerLab

Resolución de la maquina Domain de DockerLab

blackpist0l's photo
blackpist0l
·

3 min read

Hola, ¿Que te parece un CTF?

the beatles john lennon gif | WiffleGif

Pero antes, gracias al creador de la maquina "El Pingüino de Mario" y a la comunidad de DockerLabs por hacer esto posible.

Descripción de la maquina.

Sistema OperativoLinux 🐧
DificultadMedio
Lanzamiento11/04/2024
CreadorEl Pingüino de Mario

Enumeración

Empezamos con un nmap

Primero, vamos revisar el servicio web...

Bueno tenemos solo esta pagina, realice un fuzzing pero no obtuve nada interesante.

Así que pasemos a enumerar el servicio Samba, primero, comprobemos si nos podemos autenticar como un usuario nulo.

Pero no fue posible, así que me dispuse a descubrir algunos usuarios del sistema con enun4linux

enum4linux 172.17.0.2 -a

Y efecto, tenemos dos usuarios bob y james.

Fuerza bruta

Aplicaremos fuerza bruta al servicio smb con los usuarios enumerados.

WWE NXT (Resultados 18-may-16) – Nia Jax vs. Bayley – ¿Quién será el compañero de Austin Aries? – Superluchas

netexec smb 172.17.0.2 -u ../content/users.txt -p /usr/share/wordlists/rockyou.txt --ignore-pw-decoding

Esperamos un poco... Y ahí lo tenemos bob:star, ahora nos autenticamos y vemos los permisos que tenemos.

Vemos que tenemos permisos de escritura el la carpeta html, vamos a conectarnos y ver que contiene.

Interesante, me dispuse a descargar el archivo index.html, para inspeccionarlo y me di cuenta que es la pagina que sirve en el puerto 80:

Así me dispuse a subir un archivo shell.php el cual me estableciera una reverse shell con https://www.revshells.com/

Ahora solo toca subir al archivo shell.php por Samba

Después, nos colocamos en escucha, consultamos el archivo shell.php desde el navegador.

Y eso es todo, por ahora.

jim yes the office gif - El Deforma - Un no-ticiero de verdad

Escalada de privilegios

Empecemos enumerando nuevamente los usuarios del sistema, no valla ser que se nos escape uno 🤨

Recordemos que tenemos unas credenciales de bob, vamos a usarlas.

su bob

Excelente, ahora si, explorando el sistema me tope con este permiso SUID

find / -perm -u=s -type f 2>/dev/null

El binario nano, ¿extraño verdad? vamos a ver si podemos abusar de este con ayuda de gtfobins...

The Office: Random Funny Moments [Part 1] on Make a GIF

Pero no tuve éxito... Pero, teniendo en cuenta que puedo abrir y editar cualquier archivo del sistema como root, ¿podemos editar el archivo /etc/passwd?

Con la finalidad omitir la contraseña de root, ¿Como lo hacemos?

  1. Abrimos el archivo /usr/bin/nano /etc/passwd

  2. Editamos la linea root:x:0:0:root:/root:/bin/bash y removemos la x, quedando así: root::0:0:root:/root:/bin/bash

  3. Ahora solo aplique un su root

Eso es todo.

Fue un placer joven informático, hasta luego!!

Johnny English GIFs - Find & Share on GIPHY

Referencias

  1. h3g0c1v / DockerLabs-Machine-Write-Ups / domain

Did you find this article valuable?

Support BlackPist0l's Blog by becoming a sponsor. Any amount is appreciated!

CTF WriteupDockerLabs