TryHackme Chill Hack

Hoy vamos a resolver esta maquina que la dificultad es basica facil.

• Primeramente lo tipico usando nmap para ver los puertos que estan abiertos en la maquina.

# Nmap 7.94SVN scan initiated Mon Nov 13 22:09:16 2023 as: nmap -sCV -p21,22,80 -oN target.txt 10.10.196.227
Nmap scan report for 10.10.196.227
Host is up (0.061s latency).

PORT   STATE SERVICE VERSION
21/tcp open  ftp     vsftpd 3.0.3
| ftp-syst: 
|   STAT: 
| FTP server status:
|      Connected to ::ffff:10.9.66.247
|      Logged in as ftp
|      TYPE: ASCII
|      No session bandwidth limit
|      Session timeout in seconds is 300
|      Control connection is plain text
|      Data connections will be plain text
|      At session startup, client count was 4
|      vsFTPd 3.0.3 - secure, fast, stable
|_End of status
| ftp-anon: Anonymous FTP login allowed (FTP code 230)
|_-rw-r--r--    1 1001     1001           90 Oct 03  2020 note.txt
22/tcp open  ssh     OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   2048 09:f9:5d:b9:18:d0:b2:3a:82:2d:6e:76:8c:c2:01:44 (RSA)
|   256 1b:cf:3a:49:8b:1b:20:b0:2c:6a:a5:51:a8:8f:1e:62 (ECDSA)
|_  256 30:05:cc:52:c6:6f:65:04:86:0f:72:41:c8:a4:39:cf (ED25519)
80/tcp open  http    Apache httpd 2.4.29 ((Ubuntu))
|_http-server-header: Apache/2.4.29 (Ubuntu)
|_http-title: Game Info
Service Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Mon Nov 13 22:09:26 2023 -- 1 IP address (1 host up) scanned in 9.75 seconds

• Ahora utilizando nmap lanzamos para ver que versiones y servicios corren para esos puertos que tenemos abiertos.

• Vamos por parte vamos a ver primeramente ftp nos logueamos como el usuario anonymous y encontramos una nota que dice. Anurodh me dijo que hay algunos filtros en las cadenas que se colocan en el comando - Apaar

• No es mucho podrian ser nombres de usuarios o algo pero ahorita no sabemos nada

• Si nos vamos a la pagina web al puerto 80 observamos una web simple poco de donde hechar mano.

• Si usamos wfuzz para enumerar directorios dentro de la web encontramos varios images/index y secret esa suena bien la vamos a ver.

• Si vamos al directorio secret nos topamos con una web simple pero un tipo buscador donde podemos meter datos. Aca es donde prueba de todo tipo de cosa que sepas inyecciones SQL,LDAP, LATEX y un buen etc.

• Si en el panel hacemos un ifconfig nos sale la info tipica si vamos al codigo fuente se nos representa de mejor manera ya que en la anterior se observa todo trambolico.

• Hay que señalar que aca tenemos un docker lo que si esta corriendo docker sera una de las formas de escalar nuestros privilegios a root.

• Vamos a probar si ese panel lo podemos usar para enviarnos una rever, lo que haremos primero es probar haber si tenemos traza de la maquina victima a la nuestra, nos ponemos en escuhca en nuestra maquina con tcpdum y desde la web enviamos un ping de 2 paquetes, observamos que recivimos los dos paquetes.

• Eso significa que hay formas ehhhhhh.

• Vamos a saltarnos un chorro de imagenes probando todo tipo de cosas, probe de todo y nada funciono, escapando letras signos y etc habra algo por detras que filtra seguramente para que no se interpreten.

• Bueno al final lo que hice fue encodear la rever a base64, lo encodee y en el punto dos es como lo pegarias en la web y lo ejecutas.

• Hemos ganado acceso como el usuario www-data y el /home tenemos tres usuarios, ahora vamos a escalar nuestros privilegios tratar de convertisnos en root.

• Si hacemos un sudo -l el usuario apaar puede ejecutar ese archivo /.helpline.sh, el cual si le hacemos un cat es escribir un sms y enviarlo, esto lo aprovecharemos para pivotar del usuario www-data a apaar, hay que recordar que solo el lo puede ejecutar.

• Si ejecutamos el archivo como el usuario apaar obviamente nos salta todo lo de ingresar el sms y bla bla, en esos campos metemos /bin/bash para que spaunee una bash como el usuario apaar.

• Si hacemos un whoamo observamos que ya no somos www-data ahora somos el usuario apaar, hemos escalado un escalon.

• Ahora ya como el usuario leemos la primera flag la del user.txt. Ahora buscaremos seguir escalando nuestros privilegios hasta ser root.

• Explorando los archivos de los que se sirve la web, encontramos un sms que dice look in the dark, mira en la oscuridad, bueno sabra Dios que querra decir pero vamos a seguir explorando.

• Si nos vamos al directorio de imagenes que esta por ahi mismo tenemos dos archivos un imagen y un gif una que dice hacker, eso llama la atencion ver sus metadatos haber si encontramos algo.

• Si has llego hasta aca supongo que tienes sierto nivel, asi que no le daremos tantas vueltas nos descaramos la imagen a nuestra maquina atacante nos compartimos un servidor con python desde la maquina victima, supondre que lo sabes hacer.

• Esta es la imagen los metadatos no arrojan nada, vamos hacer uso de la stenografia haber si hay algo oculto dentro de la imagen.

• Usaremos steghide para extraer si hay algo aca.

• Observamos en el punto dos que hay un backup.zip si le intentamos hacer un unzip nos pide contraseña.

• Como no la tenemos crearemos en el punto tres un hash usando zip2john, observamos abajo que creamos el hash.

• Con el hash creado ahora usamos john para crackear el hash y obtener la contraseña la obtenemos

• Ahora en el punto dos le hacemos un unzip nos pide la contraseña y se la proporcionamos y se nos descomprime un archivo llamado source_code.php.

• Si le hacemos un cat al archivo, tenemos una cadena en base64, complicado de revertirla antes que lo fuera.

• Haciendo uso de echo la volvemos a su inicio antes de ser codificada a base64, tenemos esa cadena que podria ser una contraseña de algun usuario.

• Nos vamos nuevamente a la maquina victima y probamos la contraseña con los dos usuarios que tenemos.

• Hacemos un su de anurodh ponemos la contraseña que tenemos y listos hemos escalado otro escalon ahora ya no somos el usuario apaar ahora somos anurodh.

• Vemos que si hago un whoami soy anurodh y si hago un id este usuario esta en el grupo de docker, ya decia desde arriba que por aca podria estar nuestra escalada de privilegios.

• Nos vamos a gtfobins y buscamos por docker y nos sale una forma de spaunearnos una shell, vamos a probarlo.

• Si hacemos un docker images hay dos, pero a lo que venimos a escalar nuestros privilegios si ejecutamos el comando se nos spaunea una shell que si hacemos un whoami ahora somos root y no anurodh.

• Bueno ya somos root ahora solo nos falta buscar la ultima flag la de root.txt, nos vamos al directorio de root y le hacemos un cat al archivo que se aloja ahi y wala.

MAQUINA RESUELTA