VulNyx Hunter

Bueno hoy vamos por la maquina Hunter nivel de dificultad media, enlace a la maquina VulNyx

Primeramente buscamos la direccion IP en nuestra red local usando Arp-Scan.

Ahora usando Nmap buscamos los puertos que estan abiertos para esta direccion IP.

# Nmap 7.94SVN scan initiated Tue Jan  2 22:14:29 2024 as: nmap -sCV -p22,53,80 -oN target.txt 192.168.1.145
Nmap scan report for 192.168.1.145
Host is up (0.0010s latency).

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.9p1 Debian 10+deb10u3 (protocol 2.0)
| ssh-hostkey: 
|   2048 f7:ea:48:1a:a3:46:0b:bd:ac:47:73:e8:78:25:af:42 (RSA)
|   256 2e:41:ca:86:1c:73:ca:de:ed:b8:74:af:d2:06:5c:68 (ECDSA)
|_  256 33:6e:a2:58:1c:5e:37:e1:98:8c:44:b1:1c:36:6d:75 (ED25519)
53/tcp open  domain  (unknown banner: not currently available)
| fingerprint-strings: 
|   DNSVersionBindReqTCP: 
|     version
|     bind
|_    currently available
| dns-nsid: 
|_  bind.version: not currently available
80/tcp open  http    Apache httpd 2.4.38 ((Debian))
|_http-title: Apache2 Debian Default Page: It works
|_http-server-header: Apache/2.4.38 (Debian)
| http-robots.txt: 1 disallowed entry 
|_hunterzone.nyx
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at https://nmap.org/cgi-bin/submit.cgi?new-service :
SF-Port53-TCP:V=7.94SVN%I=7%D=1/2%Time=65947CC1%P=x86_64-pc-linux-gnu%r(DN
SF:SVersionBindReqTCP,52,"\0P\0\x06\x85\0\0\x01\0\x01\0\x01\0\0\x07version
SF:\x04bind\0\0\x10\0\x03\xc0\x0c\0\x10\0\x03\0\0\0\0\0\x18\x17not\x20curr
SF:ently\x20available\xc0\x0c\0\x02\0\x03\0\0\0\0\0\x02\xc0\x0c");
MAC Address: 08:00:27:A9:E0:83 (Oracle VirtualBox virtual NIC)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Tue Jan  2 22:14:55 2024 -- 1 IP address (1 host up) scanned in 25.83 seconds

Ahora las versiones y servicios que corren para cada puerto.

En el directorio robots nos dejan un dominio que lo añadimos al /etc/hosts.

Hacemos una transferencia de zona donde podemos ver mas dominios y subdominios que estan asociados.

Ahora si hacemos una enumeracion de subdomios usando wfuzz nos encontramos con otro files.

Igualmente los añadimos al /etc/hosts para que la maquina sepa a donde resolver cuando se le pida el recurso ya sea IP o dominio.

Si nos vamos a files.algo, tenemos una web con una subida de archivos, vamos a ver que podemos subir por aca.

Intente subir un php, pero la extencion php no esta permitida seguramente haya una blacklist de extenciones no permitidas definidas en el codigo.

Vamos a pasar la peticion por Burp Suite.

Tenemos la peticion la enviamos al intruder ya que vamos intentar averiguar que le gusta.

Ya estando en el intruder cogemos solo php y le damos a Add para que el payload la lista que le pasemos se centre solo en ese campo haber que extencion le gusta.

Nos vamos al Payload y definimos tipos de extenciones que en este caso defini pocas, luego desmarcamos para que la lista nos la encoding y ver bien las respuestas.

Le damos a start attack y observamos que la extencion png le gusta, porque si nos fijamos en la respuesta del servidor nos dice Success, resumen me permite solo subir images.png.

Como solo le gusta png nos creamos un archivo en nano con codigo php, pero que la extencion sea .png.

Subimos el shell.png y observamos que nos la acepta y la hemos subido.

Si nos vamos a la ruta donde deberia de estar la supuesta imagen, observamos que si se subio pero no nos esta interpretando el codigo php, esto pasa porque esto esta regulado por .htaccess, ahora lo arregamos.

Interceptamos nuevamente una subida de archivos y donde tiene que ir el archivo ponemos que es .htaccess y en el contenido del archivo le estariamos diciendo que acepte la extencion png. Le damos al Forward y dejamos que la peticion fluya para que vaya y se suba al servidor.

Ahora si funciona si hacemos un id somos el usuario bug.

Ahora nos enviamos una revershell usando lo que ya tenemos, nos ponemos en escucha con Netcat, y deberiamos de recivir la rever.

Tenemos la conexion y tamos dentro como el usuario bug.

Escalada de privilegios.

Ahora buscando como escalar privilegios si hacemos un sudo -l podemos ver que bug puede ejecutar bsh como root osea con altos privilegios.

Nos lo ejecutamos y como podemos introducir comando nos ponemos permisos SUID a la bash, nos salimos con ctrl + c, hacemos un bash -p para pasar a root y wi hacemos un whoami observamos que somos root.

Y bueno por ultimo nuestras dos banderas la de root y la de user, y bueno maquina resuelta.