RODGAR
  • Whoami
  • ACTIVE DIRECTORY
    • HackTheBox Scrambled
    • HackTheBox Forest
    • HackTheBox Escape
    • HackTheBox Authority
    • HackTheBox Support
    • HackTheBox Return
    • HackTheBox Timelapse
    • HackTheBox Administrator
    • HackTheBox Cicada
    • ⛔HackTheBox Vintage
    • HackTheBox Sauna
    • HackTheBox Active
  • CTF WRITEUP's
    • TryHackme
      • TryHackme 0day
      • TryHackme Daily Bugle
      • TryHackme Blog
      • TryHackme Year of the Owl
      • TryHackme Wgel CTF
      • TryHackme Chill Hack
      • TryHackme Wonderland
      • TryHackne OhSINT
      • TryHackme Cold VVars
      • TryHackme Dav
      • TryHackme RootMe
      • TryHackMe Basic Pentesting
      • TryHackMe Simple-CTF
      • TryHackMe Vulnversity
      • Tryhackme Kenobi
    • Burp Suite
      • 1️⃣SQL Ijections
        • Laboratorio Uno
        • Laboratorio Dos
        • Laboratorio Tres
        • Laboratorio Cuatro
        • Laboratorio Cinco
        • Laboratorio Seis
        • Laboratorio Siete
    • VulnHub
      • Inferno
      • Election
      • SYMFONOS 3
      • SYMFONOS 2
      • DJinn-3
      • Durian 1
      • DarkHole 2
      • OffSec DC-9
      • OffSec Potato
      • OffSec Pwned1
      • OffSec VIKINGS
      • OffSec Tre
      • OffSec MoneyBox
      • OffSec DEATHNOTE
      • OffSec Gaara
      • OffSec NoName
      • OffSec Katana
      • OffSec Sick0s
    • The Hackers Labs
      • The Hackers Labs Offensive
      • The Hackers Labs Resident
      • The Hacker Labs Base
      • The Hackers Labs Statue
      • The Hackers Labs Luna
      • The Hackers Labs Templo
      • The Hackers Labs GOIKO
      • The Hackers Labs Microsoft
    • Hackmyvm
      • Hackmyvm UP
    • Pivoting
      • Pivoting
      • Internal TryHackme
      • Basic /Doctor
      • Pluck /Brain
  • Privilege escalation
    • Abuso de grupos de usuario especiales
      • Docker
      • LXD
      • ADM
    • Abuso de permisos incorrectamente implementados
    • Detección y explotación de Capabilities
    • Tareas Crom
    • Path Hijacking
    • Abusando de privilegios a nivel de Sudoers
    • Abusando de privilegios SUID
    • Linux Privilege Escalation
  • Shared Files
    • Share Windows Linux
      • Compartir de entre Windows y Linux
      • Compartir de Windows a linux [Impacket-Server]
    • Share Linux
      • Compartir de linux en [PHP]
  • OWASP TOP 10
    • SQL Injections
    • XSS
    • XXE
    • Path traversal Lab
    • LFI con Wrappers
    • Log Poisoning (LFI -> RCE)
    • Server-Side Template Injection (SSTI)
    • Ataque de oráculo de relleno (Padding Oracle)
    • Inyecciones LaTeX
    • Ataques de transferencia de zona (AXFR – Full Zone Transfer)
    • Enumeración y explotación de WebDAV
    • ShellShock
    • Enumeración y explotación de SQUID Proxies
    • Insecure Direct Object Reference (IDORs)
    • Json Web Token
    • Intercambio de recursos de origen cruzado (CORS)
    • Abuso de subidas de archivos
      • Laboratorio 1
      • Laboratorio 2
      • Laboratorio 3
      • Laboratorio 4
      • Laboratorio 5
      • Laboratorio 6
      • Laboratorio 7
      • Laboratorio 8
      • Laboratorio 9
  • Group 1
    • Recursos
Con tecnología de GitBook
En esta página
  1. CTF WRITEUP's
  2. The Hackers Labs

The Hackers Labs Templo

AnteriorThe Hackers Labs LunaSiguienteThe Hackers Labs GOIKO

Última actualización hace 9 meses

Primero escaneo de puertos para observar cuantos tiene abiertos el host.

# Nmap 7.94SVN scan initiated Wed Aug  7 12:13:09 2024 as: nmap -sCV -p22,80 -oN target.txt 172.16.241.182
Nmap scan report for 172.16.241.182
Host is up (0.00072s latency).

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 9.6p1 Ubuntu 3ubuntu13.4 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   256 bc:8f:97:fa:60:eb:ed:b2:8c:3b:c0:65:3b:48:69:f1 (ECDSA)
|_  256 f9:b0:9b:20:8f:3a:7b:33:e7:95:a5:43:e7:9b:c6:59 (ED25519)
80/tcp open  http    Apache httpd 2.4.58 ((Ubuntu))
|_http-title: RODGAR
|_http-server-header: Apache/2.4.58 (Ubuntu)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Wed Aug  7 12:13:23 2024 -- 1 IP address (1 host up) scanned in 13.31 seconds

Ahora hacemos un escaneo mas profundo para observar las versiones y servicios que corren para cada uno de los dos puertos en cuestion.

Si nos vamos al sitio web observamos una web simple, haciendo enfoque en el tipo de fuente de algunas palabras.

Si fuezzeamos la web observamos que hay un directorio wow que es el mas extraño ya que los demas son mas comunes de encontrar.

Si vamos al directorio wow, observamos que nada mas un archivo de texto con una especie de pista vamos al /opt. Cosa que no es de ayuda ahora mismo.

Recuerdas que la web hacia enfoque en algunas palabras, pues si usamos NAMARI como directorio, nos dirige a esta web donde podemos observar una subida de archivos y un LFI en el formulario Archivo ah Incluir, observamos que podemos leer el /etc/passwd.

Nos vamos ah local, y vamos ah intentar subir un archivo php a la web.

Observamos que el php se subio correctamente.

Ahora si fuzzeamos el directorio actual en el que estamos trabajando, observamos que encontramos un uploads donde seguramente se subio nuestra archivo php.

Vamos al directorio, y buscamos nuestro archivo php, pero observamos que no lo encuentra donde se supone que debio haberse subido.

Bueno como tenemos un LFI, vamos a ver como esta montado esto usando wrappers pa leer el index.php y traernoslo codificado, para tratar de entender que esta pasando, porque mi php se perdio.

  1. Decodificamos lo que extraimos.

Y bueno observamos que en las lineas marcadas lo que esta haciendo es formateando el nombre original con el que se sube al servidor y luego basado en el nombre lo cifra en root13.

Entendiendo lo anterior vamos ah pasar nuestro nombre del php que subimos ah root13, el resultado del cifrado seria el como se guardo en el servidor.

Ahora si encuntra nuestro php, y bueno que hacemos, pues nos enviamos una rever a nuestra maquina atacante.

Ya dentro recordar la pista vamos al /opt, encontramos un directorio con un backup.zip.

Nos traemos al local ese .zip para tratarlo.

Observamos que si intentamos extraer el contenido nos pide contraseña.

  1. Nos creamos un hash para el .zip.

  2. Haciendo uso de john obtenemos la contraseña. Si la estas resolviendo por primera vez tu consulta es tipo john -w:/usr/share/wordlist/rockyou.tx hash.

Con la contraseña, extraemos el contenido del .zip, tenemos un backup el cual contiene un rodgar.txt con una especie de contraseña.

Si leemos el passwd hay un usuario rodgar, intentamos migrar al usuario rodgar con la contraseña encontrada y funciona haciendo un userPivoting, Mientras que observamos que rodgar esta el grupo lxd lo cual nos ayudara ah escalar privilegios.

  1. Nos vamos ah searchsploit y buscamos lxd encontramos un script.

  2. Nos lo descargamos ah local.

  3. Y bueno nos creamos un directorio lxd pa trabajar mas limpio.

Le haces un cat al .sh y sigue las instrucciones que se te proporcionan.

Ahora el alpine y el script nos los transferimos a la maquina victima al directorio /dev/shm.

Ejecutamos .sh, observamos que si hacemos un whoami somos root y lo somos pero en el contenedor no en el host.

  • Punto numero uno en una nueva terminal nos conectamos por ssh, con el usuario rodgar y su contrasña si hacemos un ls de bash observamos que no es SUID.

  • Entonces en el contenedor nos dirigimos ah /mnt/root/bin porque en el codigo arrastra source=/ path=/mnt/root recursive=true y le damos permisos SUID a la bash.

  • Ahora desde la otra terminal si hacemos lo del primer paso observamos que la bash ya es SUID.

Ahora hacemos un bash -p y somos root en el host no en el contenedor y pues buscamos nuestras banderas.

MAQUINA RESUELTA