TryHackme Wgel CTF

¿Puedes exfiltrar la bandera raíz?

Bueno hoy vamos a resolver una maquina de nivel de dificultad facil.

  • Primeramente lo tipico usando nmap para ver los puertos que estan abiertos en la maquina.

# Nmap 7.94SVN scan initiated Wed Nov  8 18:23:55 2023 as: nmap -sCV -p22,80 -oN target.txt 10.10.82.187
Nmap scan report for 10.10.82.187
Host is up (0.063s latency).

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.2p2 Ubuntu 4ubuntu2.8 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   2048 94:96:1b:66:80:1b:76:48:68:2d:14:b5:9a:01:aa:aa (RSA)
|   256 18:f7:10:cc:5f:40:f6:cf:92:f8:69:16:e2:48:f4:38 (ECDSA)
|_  256 b9:0b:97:2e:45:9b:f3:2a:4b:11:c7:83:10:33:e0:ce (ED25519)
80/tcp open  http    Apache httpd 2.4.18 ((Ubuntu))
|_http-title: Apache2 Ubuntu Default Page: It works
|_http-server-header: Apache/2.4.18 (Ubuntu)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Wed Nov  8 18:24:05 2023 -- 1 IP address (1 host up) scanned in 10.07 seconds

  • Ahora utilizando nmap lanzamos para ver que versiones y servicios corren para esos puertos que tenemos abiertos.

  • Ahora vamos a observar el puerto 80, nos sale lo default de apache.

  • Si vamos al codigo fuente de la pagina nos encontramos un nombre, esto es informacion para futuros ataques de fuerza bruta.

WFUZZ

  • Si usamos wfuzz para enumerar directorios nos encontramos con uno, vamos a verlo.

  • Si vamos al directorio encontrado nos encontramos con esta pagina web algo simple vamos ver que encontramos.

WFUZZ

  • Si seguimos haciendo fuzzing en /sitemap, nos contramos con lo mas realista del mundo un directorio llamado .ssh.

  • Si le hacemos un curl tenemos un id_rsa, nos la vamos a descargar.

  • Nos descaragamos la id_rsa ahora la vamos a usar.

ID_RSA

  • Lo primero que hacemos es cambiarle los permisos a la id_rsa y luego nos conectamos.

  • Nos vamos a la primera flag que esta en documentos la de user.txt, ahora solo falta la de root.txt.

  • Si hacemos un sudo -l, observamos usr/bin/root se puede ejecutar sin proporcionar contraseñas.

Escalada de Privilegios

Vamos a hacer una escala de privilegios sobreescribiendo el sudoers de la maquina.

  • Primeramente creamos un archivo en nuestra maquina local haciendo uso de echo diciendole que jessie pueda ejecutar todo sin proporcionar contraseña.

  • Ahora como punto numero dos nos compartimos un servidor con python.

  • Y como punto numero tres haciendo uso de wget que root lo puede ejecutar sin proporcionar contraseña nos lo descargamos en nuestra maquina victima para sobreescribir el sudoers de la maquina vistima

NOTA tienes que descargar el archivo en el /etc donde esta el archivo sudoers.

  • Si hacemos un sudo -l ahora observamos que jessie puede ejecutar cualquier cosa sin proporcionar contraseña.

  • Ahora si hacemos un sudo su, obsevamos que nos convertimos en root y vamos por la ultima flag la de root.txt

YYYY MAQUINA RESUELTA.

AnteriorTryHackme Year of the OwlSiguienteTryHackme Chill Hack

Última actualización