Vulnyx Machine Plex

Holaa!, un CTF mas, pero en esta ocasión de la web Vulnyx, así que continuemos.

Descripción de la maquina.

Sistema Operativo	Linux 🐧
Dificultad	Difícil
Lanzamiento	28/02/2024
Creador	d4t4s3c
Primer Usuario	punt4n0
Primer Root	punt4n0

Enumeración

Inicie con un escaneo.

Curioso que en el puerto 21 este el servicio ssh corriendo, no crees? Aparte es el único puerto abierto, he escaneado por UDP, SCTP y nada. Por lo tanto la intrusión debe ser bajo este puerto.

Intente varias técnicas que ya conocía sobre dicho servicio, pero no logre nada con éxito, lo único que sabia de este, era el banner 😑.

Así que después de bastante tiempo me decante por leer un write-up del propio creador del CTF, con la esperanza de que la técnica siguiente sea algo nuevo y que no lo haya pasado por alto 😅, lo cual salio bien ya que menciono SSLH, cosa que jamas lo había escuchado, así que vamos a verloo!

SSLH

Lo que hace el Multiplexor de protocolo aplicativo es una especie de intermediario que permite que diferentes protocolos como ssh y https se comuniquen a través de una misma conexión de red, es decir un mismo puerto.

En este caso del CTF, en lugar de mantener dos servicios en puertos diferentes los esta manejando como uno solo.

Por lo tanto si tiramos un curl al puerto 21 obtenemos esto:

Una respuesta satisfactoria de un servicio web!!, de tal manera que confirmamos el uso de un Multiplexor SSL/SSH 😃.

Así que si tenemos un servicio web, por que no hacer fuzzing?

Pero claro vamos a tener que consultar lo encontrado desde el curl y es algo incomodo y poco legible, ya que si consultamos desde un navegador no logra interpretarlo.

Así que pienso en algún tipo de redireccionamiento de puertos, el problema es como. Aquí es donde entra la utilidad socat, te recomiendo que pases a leer el articulo para comprenderlo mejor.

Así que realice un direccionamiento de puertos con socat, tomando el puero 21 de la maquina y redirigiendo al puerto 80 de mi localhost.

socat TCP-LISTEN:80,fork TCP:192.168.1.70:21

Y ya podrá disfrutar la web desde su querido navegador.

Ajaaa, vamos a la ruta que encontramos con gobuster.

Un Apache server-status, interesante, pero por el momento no nos sirve de mucho, así que regrese con gobuster y fuzzing a /server-status/, pero te advierto que no lo hagas 😅.

En cambio algo que me falto hacer fue un fuzzing con diferentes extensiones en la ruta / .

Así?

Ah bueno, viendo esto, me dirijo a CyberChef, el cual tiene un modulo llamado Magic, el cual puede identificar un string y en ocasiones te indica de que esta construido. Como en este caso que nos dice que es un posible base64 .

Así que con otro modulo de CyberChef, podemos aplicar un decode de una cadena en base64 .

Cabe resaltar que me distraje tanto con el usuario y contraseña que no mire el JWT 😅, cosa que pudimos haber utilizado su propio decode y fuera mucho mas legible.

Ah bastante bien no crees?, vamos a probarlo en el servicio SSH.

Y ahí esta.

Happy Cat GIF on Make a GIF

Escalada de privilegios

Revise varias cosas como:

Permisos en / y archivos del sistema.
Servicios web
Permisos sudo

En los permisos sudo obtenemos esto.

Rápidamente me dirijo a GTFOBins pero, no encontré el binario MUTT, así que investigue algo mas, sobre como podría explotar el binario, con alguna vulnerabilidad, pero debí haber buscado mal, por que no entre algo que me diera paso a la escalada, así que intuí que ese no serie el siente paso y busque:

Búsqueda de archivos setuid
Tareas cron
Análisis de procesos

No logre encontrar algo, así que regrese al binario MUTT ya que no es normal que tenga permisos de ejecutarlo como root y sin contraseña, así que ejecute la herramienta.

Pues no hay mucho que decir... Pero esta un menú de ayuda, pulsando ?.

Se desplegó lista de múltiples opciones en la cuales hubo una que llama notablemente la atención, así es... scape-shell. Al elegir dicha opción da esto.