SYMFONOS 3
Bueno seguimos con la seria de maquinas SYMFONOS
Última actualización
Bueno seguimos con la seria de maquinas SYMFONOS
Última actualización
Bueno primeramente lo tipico usar Nmap para descubrir puertos abiertos que tiene la maquina.
Ahora vemos los servicios y las versiones que corren para cada puerto.
Si hacemos un fuzzing de directorios observamos cositas un cgi-bin, hay que recordar que tipos de archivos asi cgi-bin o .sh, expuestos podrian dar pie a un ShellShock.
Si lanzamos un curl ala direccion IP limpia obtenemos lo que esta señalado.
Ahora si lanzamos un curl a los directorios encontrados nos da un 200 OK.
Ahora vamos a probar el ShellShock y lo lanzamos incrustando el payload en el User-Agent, le lanzamos un whoami y observamos que nos responde.
Esto quiere decir que tenemos ejecucion remota de comandos ahora ganaremos acceso.
Como promer punto hacemos lo mismo nos aprovechamos del User-Agent para poner nuestra carga y nos enviamos una revershell a nuestra direccion IP.
Compo segundo punto nos ponemos en escucha con Netcat y observamos que recivimos la conexion.
Si hacemos un ID observamos que estamos en el grupo pcap.
Y si hacemos un ss -tan, tambien observamos que internamente el puerto 21 se esta compartiendo data NOTA hay que recordar que los datos aca viajan en texto plano , osea que si interceptamos datos que se estan enviando por aca los observaremos el texto plano.
Nos ponemos a la escucha con tcpdump usando -i para especificar la interfas de red -v para el verbose y -Z para ser especifico de lo que quiero interceptar -w para crear un archivo.
Si le hechamos un ojo al capture.cap que creamos tenemos credenciales un user hades y una contraseña.
Y hacemos un userPivoting pasamos de ser el usuario cerberus al usuario hades, vamos progresando.
Encontre este archivo que me permitia editarlo que reside en la ruta /usr/lib/python2.7, lo editamos para que nos otorgue permisos SUID a la bash.
Este archivo esta asociado a una tarea cron de un archivo que esta en la ruta /opt. que no pude hacer captura.
Despues de esperar unos tres minutos la tarea cron se ejecuta y nos da permiso SUID a nuestra bash.
Nos vamos a la raiz y nos traemos nuestra flag de root.
Y bueno MAQUINA RESUELTA