RODGAR
  • Whoami
  • HackTheBox
    • Hard
      • ⛔HackTheBox Vintage
    • Medium
      • HackTheBox Cascade
      • HackTheBox TombWatcher
      • Copy of HackTheBox TombWatcher
      • HackTheBox Monteverde
      • HackTheBox Resolute
      • HackTheBox Administrator
      • HackTheBox Escape
      • HackTheBox Authority
    • Easy
      • HackTheBox Active
      • HackTheBox Sauna
      • HackTheBox Support
      • HackTheBox Forest
      • HackTheBox Cicada
      • HackTheBox Timelapse
      • HackTheBox Return
  • CTF WRITEUP's
    • TryHackme
      • TryHackme 0day
      • TryHackme Daily Bugle
      • TryHackme Blog
      • TryHackme Year of the Owl
      • TryHackme Wgel CTF
      • TryHackme Chill Hack
      • TryHackme Wonderland
      • TryHackne OhSINT
      • TryHackme Cold VVars
      • TryHackme Dav
      • TryHackme RootMe
      • TryHackMe Basic Pentesting
      • TryHackMe Simple-CTF
      • TryHackMe Vulnversity
      • Tryhackme Kenobi
    • Burp Suite
      • 1️⃣SQL Ijections
        • Laboratorio Uno
        • Laboratorio Dos
        • Laboratorio Tres
        • Laboratorio Cuatro
        • Laboratorio Cinco
        • Laboratorio Seis
        • Laboratorio Siete
    • VulnHub
      • Inferno
      • Election
      • SYMFONOS 3
      • SYMFONOS 2
      • DJinn-3
      • Durian 1
      • DarkHole 2
      • OffSec DC-9
      • OffSec Potato
      • OffSec Pwned1
      • OffSec VIKINGS
      • OffSec Tre
      • OffSec MoneyBox
      • OffSec DEATHNOTE
      • OffSec Gaara
      • OffSec NoName
      • OffSec Katana
      • OffSec Sick0s
    • The Hackers Labs
      • The Hackers Labs Offensive
      • The Hackers Labs Resident
      • The Hacker Labs Base
      • The Hackers Labs Statue
      • The Hackers Labs Luna
      • The Hackers Labs Templo
      • The Hackers Labs GOIKO
      • The Hackers Labs Microsoft
    • Hackmyvm
      • Hackmyvm UP
    • Pivoting
      • Pivoting
      • Internal TryHackme
      • Basic /Doctor
      • Pluck /Brain
  • Privilege escalation
    • Abuso de grupos de usuario especiales
      • Docker
      • LXD
      • ADM
    • Abuso de permisos incorrectamente implementados
    • Detección y explotación de Capabilities
    • Tareas Crom
    • Path Hijacking
    • Abusando de privilegios a nivel de Sudoers
    • Abusando de privilegios SUID
    • Linux Privilege Escalation
  • Shared Files
    • Share Windows Linux
      • Compartir de entre Windows y Linux
      • Compartir de Windows a linux [Impacket-Server]
    • Share Linux
      • Compartir de linux en [PHP]
  • OWASP TOP 10
    • SQL Injections
    • XSS
    • XXE
    • Path traversal Lab
    • LFI con Wrappers
    • Log Poisoning (LFI -> RCE)
    • Server-Side Template Injection (SSTI)
    • Ataque de oráculo de relleno (Padding Oracle)
    • Inyecciones LaTeX
    • Ataques de transferencia de zona (AXFR – Full Zone Transfer)
    • Enumeración y explotación de WebDAV
    • ShellShock
    • Enumeración y explotación de SQUID Proxies
    • Insecure Direct Object Reference (IDORs)
    • Json Web Token
    • Intercambio de recursos de origen cruzado (CORS)
    • Abuso de subidas de archivos
      • Laboratorio 1
      • Laboratorio 2
      • Laboratorio 3
      • Laboratorio 4
      • Laboratorio 5
      • Laboratorio 6
      • Laboratorio 7
      • Laboratorio 8
      • Laboratorio 9
  • Group 1
    • Recursos
Con tecnología de GitBook
En esta página
  1. CTF WRITEUP's
  2. VulnHub

OffSec Pwned1

AnteriorOffSec PotatoSiguienteOffSec VIKINGS

Última actualización hace 1 año

Primero que nada empezamos con lo tipico escaneo de puertos abiertos en el Host.

# Nmap 7.94SVN scan initiated Wed Feb 21 11:56:43 2024 as: nmap -sCV -p21,22,80 -oN target.txt 192.168.217.95
Nmap scan report for 192.168.217.95
Host is up (0.047s latency).

PORT   STATE SERVICE VERSION
21/tcp open  ftp     vsftpd 3.0.3
22/tcp open  ssh     OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
| ssh-hostkey: 
|   2048 fe:cd:90:19:74:91:ae:f5:64:a8:a5:e8:6f:6e:ef:7e (RSA)
|   256 81:32:93:bd:ed:9b:e7:98:af:25:06:79:5f:de:91:5d (ECDSA)
|_  256 dd:72:74:5d:4d:2d:a3:62:3e:81:af:09:51:e0:14:4a (ED25519)
80/tcp open  http    Apache httpd 2.4.38 ((Debian))
|_http-server-header: Apache/2.4.38 (Debian)
|_http-title: Pwned....!!
Service Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Wed Feb 21 11:56:52 2024 -- 1 IP address (1 host up) scanned in 9.06 seconds

Versiones y servicios que corren para cada uno de los puertos que estan abiertos.

  1. Si fuzzeamos la pagina web encontramos el directorio robots.txt el mas tipico.

  2. Ahora si con curl le lanzamos una peticion a donde esta ese robots.txt tenemos dos directorios mas que nos dan.

  1. Ahora si lanzamos una peticion igual usando curl, observamos que tenemos un archivo llamado secret.dic.

  2. Ahora si lanzamos igualmente con curl, a todo el recurso, el secret.dic tenemos mas especie de directorios en la web.

El directorio pwned.vuln tiene un panel de login, pero si lanzamos una peticion observamos el codigo fuente de la pagina tenemos unas credenciales del ftp.

  1. Nos conectamos al ftp con las credenciales encontradas.

Ahora estando dentro tenemos una nota y un id_rsa, pues nos los descargamos a local.

Bueno si le hacemos un cat a la nota, tenemos un posible usuario ariana, le cambiamos los permisos a la id_rsa.

Nos conectamos usando la id_rsa y con el nombre de usuario encontrado, y tenemos la primera bandera.

Si hacemos un sudo -l como ariana, observamos que selena puede ejecutar un script escrito en bash sin proporcionar contraseña.

Entonces lo vamos a ejecutar como el usuario selena.

  1. Si lo ejecutamos nos da un welcome, y tenemos una especie de formulario, le ponemos el nombre selena y hacemos un user-pivoting del usuario ariana a selena.

  2. Ahora si hacemos un id, observamos que selena esta en el grupo de docker, podemos usar esto para escala privilegios.

Escalda de privilegios docker

  1. Si hacemos un docker images observamos que tenemos tres imagenes.

  2. Luego si introducimos la sintaxis que se observa se ejecuta el contenedos Privesc.

Observamos que todo lo que estaba en la maquina real ahora esta dentro del contenedor, si nos vamos a root, podemos ver la ultima bandera la de root.txt.

El comando docker run inicia un contenedor Docker basado en Privesc . Con -v /:/host/, se monta el sistema de archivos del host dentro del contenedor en /host/. Luego, chroot /host/ cambia el root directory del sistema al del host. Finalmente, bash inicia un shell Bash dentro del directorio del host montado, permitiendo interactuar con el sistema de archivos del host desde el contenedor.

Maquina resuelta aca estas como root y todo lo del host montado en el contenedor.

Ahora si quieres tambien lo podemos hacer de la siguiente manera.

  1. Estando en el contenedor si nos vamos a bin y le asignamos permisos SUID a la bash.

  2. Ahora en la maquina host la orginal nos conectamos con id_rsa y primero observamos que la bash no tiene permisos SUID pero luego se los asignamos, hacemos un bash -p y somos root, vamos a root y observamos la misma flag

Dos formas en una misma de hacer lo mismo llegar hasta root.