Hola, ¿te parece que hagamos un CTF?
En esta ocasión vamos a realizar una maquina de la plataforma dockerlabs.es, así que... Gracias a los creadores "El Pingüino de Mario" junto a "THackeo" por hacer esto posible.
Para hacer uso de estos CTF visite este vídeo.
Descripción de la maquina.
Sistema Operativo | Linux 🐧 |
Dificultad | Medio |
Lanzamiento | 14/04/2024 |
Creador |
Enumeración
¿Empezamos con el infalible nmap?
Vamos directo con el servicio web.
Bueno, solo contamos con la pagina por defecto de apache, vamos a realizar un fuzzing en busca de directorios y archivos.
Y tenemos la ruta /shop al visitarla tenemos esto.
Y de entrada nos topamos con un "error" abajo del todo en la web.
"Error de Sistema: ($_GET['archivo']");
Por la sintaxis, esto es php pero, lo importante es que este "error" indica que no pudo recuperar el parámetro archivo de la URL.
Local File Inclusion
Tomando en cuenta que la web intenta recuperar un "archivo" vamos a ver si es vulnerable a un LFI. Para mas información de esta vulnerabilidad le recomiendo este material.
Para esto vamos a tomar una lista de SecLists las cuales intentar recuperar algunos archivos del sistema.
gobuster fuzz -u http://172.17.0.2/shop/?archivo=FUZZ -w /usr/share/wordlists/seclists/Fuzzing/LFI/LFI-Jhaddix.txt --exclude-length 1112
Y en los diferentes resultados tenemos uno, la cual nos da la vista del archivo /ect/passwd
Y podemos ver dos usuarios del sistema machi y seller, recordemos que en el escaneo de puertos esta el servicio ssh disponible, así que...
Fuerza Bruta SSH
Podemos aplicar fuerza bruta con hydra.
hydra -L users.txt -P /usr/share/wordlists/rockyou.txt -t 10 ssh://172.17.0.2
Ahí tenemos unas credenciales.
Y estamos dentro.
Escalada de privilegios
Explore la maquina pero no descubrí una vía potencial, cabe mencionar que realice fuerza bruta al servicio ssh con el usuario seller sin conseguir una respuesta.
hydra -l seller -P /usr/share/wordlists/rockyou.txt -t 10 ssh://172.17.0.2
Hasta que veo en un writeup, donde indica que debemos realizar fuerza bruta internamente, por ejemplo que al hacer un su seller se intente con diferentes contraseñas.
Cabe mencionar que no se como es posible esto, ya que crecí desde pequeño con la idea de que la contraseña del usuario es la misma que se utiliza para autenticarse al servicio
ssh, pero aquí no lo fue.
Pero vamos a continuar, para esto vamos a requerir un script hecho por el creador del CTF, llamado Linux-Su-Force, así que vamos a descargarlo y pasarlo a la maquina victima, junto a un diccionario de contraseñas.
Los pase a la maquina por medio del scp
Ejecutamos de la siguiente forma.
bash linux-su-force.sh seller rockyou.txt
Hasta que nos indica que a encontrado la contraseña, y en efecto lo es.
Explorando los permisos sudo del usuario seller me tope con esto.
Y rápidamente nos vamos a gtfobins, el cual nos indica lo siguiente.
Así que probamos...
Y ahí lo tenemos.
Hasta luego joven informático!!
Referencias