The Hackers Labs Templo
Última actualización
Última actualización
Primero escaneo de puertos para observar cuantos tiene abiertos el host.
Ahora hacemos un escaneo mas profundo para observar las versiones y servicios que corren para cada uno de los dos puertos en cuestion.
Si nos vamos al sitio web observamos una web simple, haciendo enfoque en el tipo de fuente de algunas palabras.
Si fuezzeamos la web observamos que hay un directorio wow que es el mas extraño ya que los demas son mas comunes de encontrar.
Si vamos al directorio wow, observamos que nada mas un archivo de texto con una especie de pista vamos al /opt. Cosa que no es de ayuda ahora mismo.
Recuerdas que la web hacia enfoque en algunas palabras, pues si usamos NAMARI como directorio, nos dirige a esta web donde podemos observar una subida de archivos y un LFI en el formulario Archivo ah Incluir, observamos que podemos leer el /etc/passwd.
Nos vamos ah local, y vamos ah intentar subir un archivo php a la web.
Observamos que el php se subio correctamente.
Ahora si fuzzeamos el directorio actual en el que estamos trabajando, observamos que encontramos un uploads donde seguramente se subio nuestra archivo php.
Vamos al directorio, y buscamos nuestro archivo php, pero observamos que no lo encuentra donde se supone que debio haberse subido.
Bueno como tenemos un LFI, vamos a ver como esta montado esto usando wrappers pa leer el index.php y traernoslo codificado, para tratar de entender que esta pasando, porque mi php se perdio.
Decodificamos lo que extraimos.
Y bueno observamos que en las lineas marcadas lo que esta haciendo es formateando el nombre original con el que se sube al servidor y luego basado en el nombre lo cifra en root13.
Entendiendo lo anterior vamos ah pasar nuestro nombre del php que subimos ah root13, el resultado del cifrado seria el como se guardo en el servidor.
Ahora si encuntra nuestro php, y bueno que hacemos, pues nos enviamos una rever a nuestra maquina atacante.
Ya dentro recordar la pista vamos al /opt, encontramos un directorio con un backup.zip.
Nos traemos al local ese .zip para tratarlo.
Observamos que si intentamos extraer el contenido nos pide contraseña.
Nos creamos un hash para el .zip.
Haciendo uso de john obtenemos la contraseña. Si la estas resolviendo por primera vez tu consulta es tipo john -w:/usr/share/wordlist/rockyou.tx hash.
Con la contraseña, extraemos el contenido del .zip, tenemos un backup el cual contiene un rodgar.txt con una especie de contraseña.
Si leemos el passwd hay un usuario rodgar, intentamos migrar al usuario rodgar con la contraseña encontrada y funciona haciendo un userPivoting, Mientras que observamos que rodgar esta el grupo lxd lo cual nos ayudara ah escalar privilegios.
Nos vamos ah searchsploit y buscamos lxd encontramos un script.
Nos lo descargamos ah local.
Y bueno nos creamos un directorio lxd pa trabajar mas limpio.
Le haces un cat al .sh y sigue las instrucciones que se te proporcionan.
Ahora el alpine y el script nos los transferimos a la maquina victima al directorio /dev/shm.
Ejecutamos .sh, observamos que si hacemos un whoami somos root y lo somos pero en el contenedor no en el host.
Punto numero uno en una nueva terminal nos conectamos por ssh, con el usuario rodgar y su contrasña si hacemos un ls de bash observamos que no es SUID.
Entonces en el contenedor nos dirigimos ah /mnt/root/bin porque en el codigo arrastra source=/ path=/mnt/root recursive=true y le damos permisos SUID a la bash.
Ahora desde la otra terminal si hacemos lo del primer paso observamos que la bash ya es SUID.
Ahora hacemos un bash -p y somos root en el host no en el contenedor y pues buscamos nuestras banderas.
MAQUINA RESUELTA
