RODGAR
  • Whoami
  • ACTIVE DIRECTORY
    • HackTheBox Scrambled
    • HackTheBox Forest
    • HackTheBox Escape
    • HackTheBox Authority
    • HackTheBox Support
    • HackTheBox Return
    • HackTheBox Timelapse
    • HackTheBox Administrator
    • HackTheBox Cicada
    • ⛔HackTheBox Vintage
    • HackTheBox Sauna
    • HackTheBox Active
  • CTF WRITEUP's
    • TryHackme
      • TryHackme 0day
      • TryHackme Daily Bugle
      • TryHackme Blog
      • TryHackme Year of the Owl
      • TryHackme Wgel CTF
      • TryHackme Chill Hack
      • TryHackme Wonderland
      • TryHackne OhSINT
      • TryHackme Cold VVars
      • TryHackme Dav
      • TryHackme RootMe
      • TryHackMe Basic Pentesting
      • TryHackMe Simple-CTF
      • TryHackMe Vulnversity
      • Tryhackme Kenobi
    • Burp Suite
      • 1️⃣SQL Ijections
        • Laboratorio Uno
        • Laboratorio Dos
        • Laboratorio Tres
        • Laboratorio Cuatro
        • Laboratorio Cinco
        • Laboratorio Seis
        • Laboratorio Siete
    • VulnHub
      • Inferno
      • Election
      • SYMFONOS 3
      • SYMFONOS 2
      • DJinn-3
      • Durian 1
      • DarkHole 2
      • OffSec DC-9
      • OffSec Potato
      • OffSec Pwned1
      • OffSec VIKINGS
      • OffSec Tre
      • OffSec MoneyBox
      • OffSec DEATHNOTE
      • OffSec Gaara
      • OffSec NoName
      • OffSec Katana
      • OffSec Sick0s
    • The Hackers Labs
      • The Hackers Labs Offensive
      • The Hackers Labs Resident
      • The Hacker Labs Base
      • The Hackers Labs Statue
      • The Hackers Labs Luna
      • The Hackers Labs Templo
      • The Hackers Labs GOIKO
      • The Hackers Labs Microsoft
    • Hackmyvm
      • Hackmyvm UP
    • Pivoting
      • Pivoting
      • Internal TryHackme
      • Basic /Doctor
      • Pluck /Brain
  • Privilege escalation
    • Abuso de grupos de usuario especiales
      • Docker
      • LXD
      • ADM
    • Abuso de permisos incorrectamente implementados
    • Detección y explotación de Capabilities
    • Tareas Crom
    • Path Hijacking
    • Abusando de privilegios a nivel de Sudoers
    • Abusando de privilegios SUID
    • Linux Privilege Escalation
  • Shared Files
    • Share Windows Linux
      • Compartir de entre Windows y Linux
      • Compartir de Windows a linux [Impacket-Server]
    • Share Linux
      • Compartir de linux en [PHP]
  • OWASP TOP 10
    • SQL Injections
    • XSS
    • XXE
    • Path traversal Lab
    • LFI con Wrappers
    • Log Poisoning (LFI -> RCE)
    • Server-Side Template Injection (SSTI)
    • Ataque de oráculo de relleno (Padding Oracle)
    • Inyecciones LaTeX
    • Ataques de transferencia de zona (AXFR – Full Zone Transfer)
    • Enumeración y explotación de WebDAV
    • ShellShock
    • Enumeración y explotación de SQUID Proxies
    • Insecure Direct Object Reference (IDORs)
    • Json Web Token
    • Intercambio de recursos de origen cruzado (CORS)
    • Abuso de subidas de archivos
      • Laboratorio 1
      • Laboratorio 2
      • Laboratorio 3
      • Laboratorio 4
      • Laboratorio 5
      • Laboratorio 6
      • Laboratorio 7
      • Laboratorio 8
      • Laboratorio 9
  • Group 1
    • Recursos
Con tecnología de GitBook
En esta página
  • WFUZZ
  • WFUZZ
  • ID_RSA
  • Escalada de Privilegios
  1. CTF WRITEUP's
  2. TryHackme

TryHackme Wgel CTF

¿Puedes exfiltrar la bandera raíz?

AnteriorTryHackme Year of the OwlSiguienteTryHackme Chill Hack

Última actualización hace 1 año

Bueno hoy vamos a resolver una maquina de nivel de dificultad facil.

  • Primeramente lo tipico usando nmap para ver los puertos que estan abiertos en la maquina.

# Nmap 7.94SVN scan initiated Wed Nov  8 18:23:55 2023 as: nmap -sCV -p22,80 -oN target.txt 10.10.82.187
Nmap scan report for 10.10.82.187
Host is up (0.063s latency).

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.2p2 Ubuntu 4ubuntu2.8 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   2048 94:96:1b:66:80:1b:76:48:68:2d:14:b5:9a:01:aa:aa (RSA)
|   256 18:f7:10:cc:5f:40:f6:cf:92:f8:69:16:e2:48:f4:38 (ECDSA)
|_  256 b9:0b:97:2e:45:9b:f3:2a:4b:11:c7:83:10:33:e0:ce (ED25519)
80/tcp open  http    Apache httpd 2.4.18 ((Ubuntu))
|_http-title: Apache2 Ubuntu Default Page: It works
|_http-server-header: Apache/2.4.18 (Ubuntu)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Wed Nov  8 18:24:05 2023 -- 1 IP address (1 host up) scanned in 10.07 seconds

  • Ahora utilizando nmap lanzamos para ver que versiones y servicios corren para esos puertos que tenemos abiertos.

  • Ahora vamos a observar el puerto 80, nos sale lo default de apache.

  • Si vamos al codigo fuente de la pagina nos encontramos un nombre, esto es informacion para futuros ataques de fuerza bruta.

WFUZZ

  • Si usamos wfuzz para enumerar directorios nos encontramos con uno, vamos a verlo.

  • Si vamos al directorio encontrado nos encontramos con esta pagina web algo simple vamos ver que encontramos.

WFUZZ

  • Si seguimos haciendo fuzzing en /sitemap, nos contramos con lo mas realista del mundo un directorio llamado .ssh.

  • Si le hacemos un curl tenemos un id_rsa, nos la vamos a descargar.

  • Nos descaragamos la id_rsa ahora la vamos a usar.

ID_RSA

  • Lo primero que hacemos es cambiarle los permisos a la id_rsa y luego nos conectamos.

  • Nos vamos a la primera flag que esta en documentos la de user.txt, ahora solo falta la de root.txt.

  • Si hacemos un sudo -l, observamos usr/bin/root se puede ejecutar sin proporcionar contraseñas.

Escalada de Privilegios

Vamos a hacer una escala de privilegios sobreescribiendo el sudoers de la maquina.

  • Primeramente creamos un archivo en nuestra maquina local haciendo uso de echo diciendole que jessie pueda ejecutar todo sin proporcionar contraseña.

  • Ahora como punto numero dos nos compartimos un servidor con python.

  • Y como punto numero tres haciendo uso de wget que root lo puede ejecutar sin proporcionar contraseña nos lo descargamos en nuestra maquina victima para sobreescribir el sudoers de la maquina vistima

NOTA tienes que descargar el archivo en el /etc donde esta el archivo sudoers.

  • Si hacemos un sudo -l ahora observamos que jessie puede ejecutar cualquier cosa sin proporcionar contraseña.

  • Ahora si hacemos un sudo su, obsevamos que nos convertimos en root y vamos por la ultima flag la de root.txt

YYYY MAQUINA RESUELTA.