Hack The Box Traverxec Writeup
Última actualización
Última actualización
Primeramente hacemos un reconocimiento con nmap para detectar que puertos estan abiertos en el host.
Ahora podemos ver la version de lo que sea que hay en el puerto 80.
Si nos vamos a la web no observamos mucho.
Ahora encontramos un exploit para la version de este servicio.
Ahora probamos el exploit nos ponemos en escucha con tcpdump, y nos enviamos un ping a nuestra maquina atacante, y observamos que si tenemos traza.
Ahora que ya hemos probado que tenemos traza ejecucion remota de comandos, nos enviamos una revershell a nuestra maquina de atacante nos ponemos en escucha con NC.
Ahora ya dentro de la maquina nos vamos a la ruta /var/nostromo/conf/, encontramos una contraseña en formato hash.
Con la contraseña, nos vamos a nuestro directorio de trabajo en local y con JOHN crackeamos la contraseña lo cual hemos conseguido.
/var/nostromo/conf/ Bajo esta misma ruta tenemos un .conf, que nos dice que bajo la ruta /home/public_www se sirve algo
Como punto dos si nos vamos a esa ruta encontramos un archivo llamado protected-file-area.
Nos copiamos toda la ruta que nos dice que es publica y nos topamos con algo estilo WebDav, nos pide usuario y contraseña, usamos las credenciales que ya teniamos y pum pa dentro.
Al haber puesto las credenciales nos logueamos y encontramos un backup, nos lo descargamos a nuestra maquina en local.
Como punto uno le hacemos un tar al archivo, y se nos descomprimen 3 archivos, ID_RSA.
Como punto uno le cambiamos los priv a la id_rsa y nos intentamos conectar usando esta misma, pero en el punto dos observamos que esta protejida por contraseña.
Bueno como esto esta protejido por contraseña la id_rsa vamos a crackearla.
Como punto numero uno usando sshjohn.py generamos un has para esta id_rsa.
Como punto numero dos usamos john para hacer fuerza bruta al hash obtenido, y observamos que obtenemos la contraseña la cual es hunter.
Ahora con la id_rsa y con la contraseña para esta id_rsa, nos conectamos a la maquina como el usuario david.
En el directorio /bin que esta servido en el /home/david tenemos un archivo .sh, si le hacemos un cat observamos se ejecuta desde la raiz buscando ah JOURNALCTL
journalctl es una utilidad en sistemas operativos Linux que permite acceder y ver el registro del sistema y los registros de mensajes del sistema, incluidos los mensajes del kernel, registros de servicios y aplicaciones. Es una herramienta poderosa para analizar eventos y solucionar problemas en el sistema.
Ahora como segundo punto si ejecutamos el script, nos lo ejecuta y ya no nos pide contraseña de root lo cual significa que tiene altos privilegios, el cual nos regala una via potencial para escalar nuestros privilegios de david a root.
Nos vamos a GTFOBINS y observamos que tenemos instrucciones para nuestra escalada.
Ejecutamos el script pero para insertar el !/bin/bash te abres una nueva terminal usando TMUX para que el mensaje que te lanza por pantalla completa no lo logre ejecutar y se quede a medias donde podemos insertar la instruccion.
Ahora que ya somos root, podemos ver las dos flags la de user.txt y root.txt. Maquina resuelta