RODGAR
  • Whoami
  • HackTheBox
    • Hard
      • ⛔HackTheBox Vintage
    • Medium
      • HackTheBox Cascade
      • HackTheBox TombWatcher
      • Copy of HackTheBox TombWatcher
      • HackTheBox Monteverde
      • HackTheBox Resolute
      • HackTheBox Administrator
      • HackTheBox Escape
      • HackTheBox Authority
    • Easy
      • HackTheBox Active
      • HackTheBox Sauna
      • HackTheBox Support
      • HackTheBox Forest
      • HackTheBox Cicada
      • HackTheBox Timelapse
      • HackTheBox Return
  • CTF WRITEUP's
    • TryHackme
      • TryHackme 0day
      • TryHackme Daily Bugle
      • TryHackme Blog
      • TryHackme Year of the Owl
      • TryHackme Wgel CTF
      • TryHackme Chill Hack
      • TryHackme Wonderland
      • TryHackne OhSINT
      • TryHackme Cold VVars
      • TryHackme Dav
      • TryHackme RootMe
      • TryHackMe Basic Pentesting
      • TryHackMe Simple-CTF
      • TryHackMe Vulnversity
      • Tryhackme Kenobi
    • Burp Suite
      • 1️⃣SQL Ijections
        • Laboratorio Uno
        • Laboratorio Dos
        • Laboratorio Tres
        • Laboratorio Cuatro
        • Laboratorio Cinco
        • Laboratorio Seis
        • Laboratorio Siete
    • VulnHub
      • Inferno
      • Election
      • SYMFONOS 3
      • SYMFONOS 2
      • DJinn-3
      • Durian 1
      • DarkHole 2
      • OffSec DC-9
      • OffSec Potato
      • OffSec Pwned1
      • OffSec VIKINGS
      • OffSec Tre
      • OffSec MoneyBox
      • OffSec DEATHNOTE
      • OffSec Gaara
      • OffSec NoName
      • OffSec Katana
      • OffSec Sick0s
    • The Hackers Labs
      • The Hackers Labs Offensive
      • The Hackers Labs Resident
      • The Hacker Labs Base
      • The Hackers Labs Statue
      • The Hackers Labs Luna
      • The Hackers Labs Templo
      • The Hackers Labs GOIKO
      • The Hackers Labs Microsoft
    • Hackmyvm
      • Hackmyvm UP
    • Pivoting
      • Pivoting
      • Internal TryHackme
      • Basic /Doctor
      • Pluck /Brain
  • Privilege escalation
    • Abuso de grupos de usuario especiales
      • Docker
      • LXD
      • ADM
    • Abuso de permisos incorrectamente implementados
    • Detección y explotación de Capabilities
    • Tareas Crom
    • Path Hijacking
    • Abusando de privilegios a nivel de Sudoers
    • Abusando de privilegios SUID
    • Linux Privilege Escalation
  • Shared Files
    • Share Windows Linux
      • Compartir de entre Windows y Linux
      • Compartir de Windows a linux [Impacket-Server]
    • Share Linux
      • Compartir de linux en [PHP]
  • OWASP TOP 10
    • SQL Injections
    • XSS
    • XXE
    • Path traversal Lab
    • LFI con Wrappers
    • Log Poisoning (LFI -> RCE)
    • Server-Side Template Injection (SSTI)
    • Ataque de oráculo de relleno (Padding Oracle)
    • Inyecciones LaTeX
    • Ataques de transferencia de zona (AXFR – Full Zone Transfer)
    • Enumeración y explotación de WebDAV
    • ShellShock
    • Enumeración y explotación de SQUID Proxies
    • Insecure Direct Object Reference (IDORs)
    • Json Web Token
    • Intercambio de recursos de origen cruzado (CORS)
    • Abuso de subidas de archivos
      • Laboratorio 1
      • Laboratorio 2
      • Laboratorio 3
      • Laboratorio 4
      • Laboratorio 5
      • Laboratorio 6
      • Laboratorio 7
      • Laboratorio 8
      • Laboratorio 9
  • Group 1
    • Recursos
Con tecnología de GitBook
En esta página
  1. CTF WRITEUP's
  2. VulnHub

Inferno

AnteriorVulnHubSiguienteElection

Última actualización hace 6 meses

  • Ahora vamos a ver los puertos abiertos usando nuestra herramienta de confianza NMAP. La cual nos muestra que tenemos dos.

# Nmap 7.93 scan initiated Tue Oct 10 19:16:19 2023 as: nmap -sCV -p22,80 -oN target.txt 192.168.1.151
Nmap scan report for 192.168.1.151
Host is up (0.00071s latency).

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
| ssh-hostkey: 
|   2048 82f4d24774862fb49462cd31f6ef51a4 (RSA)
|   256 01e902a3ffff4a7bf2201e0b449d7ff7 (ECDSA)
|_  256 a5dca7b12033f18dc7ddf1a3595dc234 (ED25519)
80/tcp open  http    Apache httpd 2.4.38 ((Debian))
|_http-title: Dante's Inferno
|_http-server-header: Apache/2.4.38 (Debian)
MAC Address: 08:00:27:D1:3D:F2 (Oracle VirtualBox virtual NIC)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Tue Oct 10 19:16:26 2023 -- 1 IP address (1 host up) scanned in 7.37 seconds

  • Ahora seguimos usando NMAP para observar la version que corre para los dos puertos abiertos.

  • Si vamos al puerto 80 nos muestra esto nada mas, una pagina web simple. A la cual le haremos fuzzing para descubrir directorios ocultos o subdominios si fuera el caso.

  • Utilizando wfuzz fuzzeamos en busca de directorios y tenemos uno interesante /inferno.

  • Si vamos al directorio observamos que tiene un panel de credenciales las cuales no tenemos para entrar.

  • Indagando logre obtener el usuario el cual era admin, ya conociendo el usuario hacemos un ataque de fuerza bruta utilizando hydra el cual tardo un poco en encontrar la contraseña.

  • Con las credenciales iniciamos session y tenemos un CMS llamado CODIAD.

  • Ahora si usamos searchsploit buscamos para buscar posibles vulnerabilidades para este CMS, tenemos varias. Pero la que nos intersa seria la cual podemos ejecutar codigo remoto AUTENTIFICADO.

  • Ahora como paso numero uno nos lo descargamos a nuestro directorio de trabajo, y le cambiamos el nombre a algo mas descriptivo.

  • Ahora si abres el codigo trae instrucciones de como hacerlo y ganar acceso.

  • Ahora como punto numero uno ejecutamos el script poniendo respectivamente primeramente la URL seguido del directorio las credenciales y nuestra direccion IP a donde enviaremos la REVER y la plataforma, que en este caso es un linux.

  • Punto numero dos pegamos esta cadena que nos genera automaticamente cuando hacemos el primer paso y la ejecutamos.

  • Ahora como punto numero tres nos ponemos en escucha con NETCAT por el puerto 444. Ahora volvemos al primer paso y le damos a Y despues de haber puesto en escucha los dos ultimos comandos y observamos que obtenemos acceso como el usuario WWW-DATA.

  • Ya dentro de la maquina tenemos este archivo que esta en hexadecimal, por detras hay un texto hay una forma de leer en texto claro esto reconvertirlo al texto original antes de ser hexadecimal.

  • Aca lo convertimos a lo que originalmente era antes de ser hexadecimal usando xxd -ps.

  • Tenemos un usuario y una posible credenciales que usaremos en SSH ya que esta expuesto.

  • Usamos las credenciales y nos conectamos por SSH como el usuario dante hemos medianamente nuestros privilegios de forma lateral ahora no somos WWW-DATA si no dante. Ahora solo falta convertirnos en ROOT.

  • Si hacemos un sudo -l observamos que podemos ejecutar tee sin proporcionar contraseña, que es tee.

  • Tee en Linux es una utilidad que se utiliza para leer desde la entrada estándar (por ejemplo, la salida de otro comando o el contenido de un archivo) y escribir los datos tanto en la salida estándar como en uno o más archivos. lo cual nos podria ayudar a escalar nuestros privilegios sobre/escribiendo el /etc/sudoers

  • Y es justo lo que hacemos sobre/escribir el /etc/sudoers asignando el privilegio a dante que puede ejecutar cualquier comando sin proporcionar contraseña.

  • Observamos que si hacemos un sudo su, nos convertimos en root y no eh proporcionado contraseña.

Ahora que ya somos root ya podemos obtener la flag de root el cual es un archivo con la foto de un tipo que es como un tipo de faraon y MAQUINA RESUELTAAAAAAAAA.