RODGAR
  • Whoami
  • OWASP TOP 10
    • SQL Injections
    • XSS
    • XXE
    • Path traversal Lab
    • LFI con Wrappers
    • Log Poisoning (LFI -> RCE)
    • Server-Side Template Injection (SSTI)
    • Ataque de oráculo de relleno (Padding Oracle)
    • Inyecciones LaTeX
    • Ataques de transferencia de zona (AXFR – Full Zone Transfer)
    • Enumeración y explotación de WebDAV
    • ShellShock
    • Enumeración y explotación de SQUID Proxies
    • Insecure Direct Object Reference (IDORs)
    • Json Web Token
    • Intercambio de recursos de origen cruzado (CORS)
    • Abuso de subidas de archivos
      • Laboratorio 1
      • Laboratorio 2
      • Laboratorio 3
      • Laboratorio 4
      • Laboratorio 5
      • Laboratorio 6
      • Laboratorio 7
      • Laboratorio 8
      • Laboratorio 9
  • CTF WRITEUP's
    • OSCP VulnHub
      • DarkHole 2
      • Durian 1
      • DJinn-3
      • SYMFONOS 2
      • SYMFONOS 3
      • Election
      • Inferno
    • 〽️Pivoting
      • Pivoting
      • Internal TryHackme
      • Basic /Doctor
      • Pluck /Brain
    • ™️TryHackme
      • TryHackme 0day
      • TryHackme Daily Bugle
      • TryHackme Blog
      • TryHackme Year of the Owl
      • TryHackme Wgel CTF
      • TryHackme Chill Hack
      • TryHackme Wonderland
      • TryHackne OhSINT
      • TryHackme Cold VVars
      • TryHackme Dav
      • TryHackme RootMe
      • TryHackMe Basic Pentesting
      • TryHackMe Simple-CTF
      • TryHackMe Vulnversity
      • Tryhackme Kenobi
    • 🚦Hack The Box
      • Hack The Box PermX
      • Hack The Box Lame
      • Hack The Box Keeper
      • Hack The Box Sau
      • Hack The Box Topology
      • Hack The Box Inject Writeup
      • Hack The Box Traverxec Writeup
      • Hack The Box Stocker Writeup
    • 📿Burp Suite
      • 1️⃣SQL Ijections
        • Laboratorio Uno
        • Laboratorio Dos
        • Laboratorio Tres
        • Laboratorio Cuatro
        • Laboratorio Cinco
        • Laboratorio Seis
        • Laboratorio Siete
    • 🎞️OffSec
      • OffSec DC-9
      • OffSec Potato
      • OffSec Pwned1
      • OffSec VIKINGS
      • OffSec Tre
      • OffSec MoneyBox
      • OffSec DEATHNOTE
      • OffSec Gaara
      • OffSec NoName
      • OffSec Katana
      • OffSec Sick0s
    • 🏴‍☠️The Hackers Labs
      • The Hackers Labs Offensive
      • The Hackers Labs Resident
      • The Hacker Labs Base
      • The Hackers Labs Statue
      • The Hackers Labs Luna
      • The Hackers Labs Templo
      • The Hackers Labs GOIKO
      • The Hackers Labs Microsoft
    • 🏈Hackmyvm
      • Hackmyvm UP
  • 🖥️Active Directory (AD)
    • Directorio Activo Smb Relay Ipv4
  • ❗Privilege escalation
    • Abuso de grupos de usuario especiales
      • Docker
      • LXD
      • ADM
    • Abuso de permisos incorrectamente implementados
    • Detección y explotación de Capabilities
    • Tareas Crom
    • Path Hijacking
    • Abusando de privilegios a nivel de Sudoers
    • Abusando de privilegios SUID
    • Linux Privilege Escalation
  • 🤝Shared Files
    • 🤝Share Windows Linux
      • Compartir de entre Windows y Linux
      • Compartir de Windows a linux [Impacket-Server]
    • 🤝Share Linux
      • Compartir de linux en [PHP]
  • 🏺POST
    • DOCKER
    • CHISEL
    • Hydra
    • TTY
  • Recursos
    • Rever Shell
    • Payloads Staged Windows
  • Auditorias WI-FI
    • Hacking de redes Wi-Fi
  • Subneting
    • IPCAL
Con tecnología de GitBook
En esta página
  1. CTF WRITEUP's
  2. The Hackers Labs

The Hackers Labs GOIKO

AnteriorThe Hackers Labs TemploSiguienteThe Hackers Labs Microsoft

Última actualización hace 6 meses

Empezamos primero lo primero escaneo de puertos abiertos en el Host.

# Nmap 7.94SVN scan initiated Tue Jul 30 10:19:14 2024 as: nmap -sCV -p22,139,445,10021 -oN target.txt 172.16.241.177
Nmap scan report for 172.16.241.177
Host is up (0.00071s latency).

PORT      STATE SERVICE     VERSION
22/tcp    open  ssh         OpenSSH 9.2p1 Debian 2+deb12u2 (protocol 2.0)
| ssh-hostkey: 
|   256 e6:e0:15:63:c4:74:9e:04:7c:95:44:d5:45:c2:b4:4a (ECDSA)
|_  256 44:02:f3:25:5d:f0:b2:f3:2b:71:a3:08:dd:4f:37:72 (ED25519)
139/tcp   open  netbios-ssn Samba smbd 4.6.2
445/tcp   open  netbios-ssn Samba smbd 4.6.2
10021/tcp open  ftp         vsftpd 2.0.8 or later
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Host script results:
| smb2-time: 
|   date: 2024-07-30T14:20:02
|_  start_date: N/A
| smb2-security-mode: 
|   3:1:1: 
|_    Message signing enabled but not required
|_nbstat: NetBIOS name: VENTURA, NetBIOS user: <unknown>, NetBIOS MAC: <unknown> (unknown)

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Tue Jul 30 10:20:05 2024 -- 1 IP address (1 host up) scanned in 51.57 seconds

Ahora un escaneo mas profundo volcandonos las versiones y servicios que corren para cada uno de ellos.

Bueno ahora empezemos con un reconocimiento general haciendo uso de esta herramienta enum4linux, en la cual nos encuntra una bariedad de usuarios los cuales pondremos en un diccionario propio de usuarios.

Ahora como punto numero uno haciendo uso de crackmapexec y usando el diccionario encontrado hacemos un ataque de fuerza bruta al smb, en el cual observamos que encontramos una credencial valida para el usuario Administrator.

Como segundo punto y haciendo uso de crackmapexec observamos los recursos que se estan compartiendo, en el los cuales en tres tenemos permisos de lectura.

Nos conectamos al recurso menu usando smbclient, donde encontramos dos archivos el goiko.txt nos deja un sms.

El segundo son un usuario y una credencial.

Con las credenciales encontradas nos conectamos al ftp, donde encontramos un archivo .zip, nos lo descargamos a local.

  1. Ahora haciendo uso de 7z listamos el contenido del zip, donde tenemos dos archivos id_rsa y users.

  2. Si lo intentamos extraer el contenido observamos que nos pide password.

  1. Hacemos uso de zip2john y creamos un hash para el archivo zip.

  2. Y crackeamos la contraseña usando John yo lo hice asi, porque anteriormente ya lo habia crackeado, si es la primera vez que lo crackea debe escribir todo el comando john -w:/usr/share/wordlist/rockyou hash.

Con la contarseña en nuestras manos descomprimimos el .zip y tenemos los dos archivos la id_rsa y users.

La id_rsa esta protegida, hacemos lo mismo que con el .zip creamos un hash y la crackeamos, yo la crackeo de la manera john --show porque ya habia resuelto la maquina anteriormente, si es primera vez debera hacerlo como lo indicaba arriba.

  1. Ahora usando hydra con los usuarios que contramos hacemos fuerza bruta al ssh, en el cual encontramos credenciales validad.

  2. Nos conectamos a la maquina via ssh.

Ya conectados tenemos una pista de como proseguir y la primera bandera.

Nos conectamos a la base de datos usando las mismas credenciales del ssh, listamos las bases de datos,tablas y etc y obtemos dos hashes y dos usuarios.

Crackeamos uno de los hash online.

  1. Nos migramos al usuario nika.

Escalamos privilegios de esta manera creando un find que no sera el original y manipulando el PATH para que ejecute el nuestro y listo somos root.

Intente manipular el PATH exportandolo pero no se no tenia el mismo efecto que al hacerlo de esta manera.

🏴‍☠️