Eclipse
Que tal lord & lady
En esta ocasión te traigo la resolución de maquina Ecllpse de la plataforma Dockerlabs.es.
Requisitos previos:
- Tener configurado al menos una maquina virtual como Kali o Parrot (link aquí)
- Tener descargado lo necesario para el laboratorio de dockerlabs.es (link aquí)
Write Up Maquina Eclipse #dockerlabs.es
Reconocimiento
Con este ping nos damos cuenta de 2 cosas:
1- La maquina responde y soporta la respuesta de ping
2- Por el ttl=64, nos damos cuenta que es una maquina Linux
Para mi es buena practica colocar directamente en la carpeta de trabajo tanto la IP como el sistema que se esta auditando.
Escaneo de puertos con Nmap
$ sudo nmap -sS -p- --open --min-rate 5000 -vvv -n -Pn 172.17.0.2 -oN nmap_quickScan.txt
Vemos 2 puertos abiertos, el 80 y el 8983, vamos a obtener con una serie de scripts de reconocimiento de nmap, que servicios y versiones corren detrás de:
Ya podíamos suponer que teníamos un servicio web en el puerto 80 y también tenemos Apache Solr.
Vamos a darle un vistazo a estos puertos para ver que podemos encontrar.
Puerto 80
Sabemos que tenemos el puerto 80 abierto, un servicio de Apache, antes de ir a nuestro navegador, vamos a ver que dice whatweb, ya que es buena practica revisar tecnologías:
Bueno, por lo pronto no vemos algo interesante.
Vayamos al navegador...
Encontramos una muy buena imagen de muy buena calidad. No alcanzo a ver ningún menú de navegación.
Damos Ctrl + U
Pues no, no se ve por lo pronto que podamos realizar algo en este punto.
Algo que se me ocurriría hacer es intentar Fuzzing ya sea con gobuster o con wfuzz para ver si encontramos algo.
Yo por lo pronto te puedo decir que no encontré nada interesante, pero realizar esto es buen practica.
Puerto 8983
Solo por curiosidad, voy a abrir el navegador con este puerto para ver que es lo que veo:
Vaya vaya!
Si hemos encontrado algo interesante!
Ya sabíamos que era un servicio Apache Solr en este puerto, y al parecer tiene una interfaz grafica para su administración.
Lo que me gusta de esta pagina es que, primero que nada, no pide credenciales, y segundo, nos muestra la versión...
Y ya sabemos que podríamos utilizar searchsploit y Google.
Yo por lo pronto voy a buscar alguna vulnerabilidad para esta versión aun que no dejes de utilizar searchsploit, eso te lo dejo de tarea.
Directamente en Google encuentro algunas cosas:
Fuente Tenable: link
Github: link
Leyendo un poco más encuentro un link a un recurso de Github donde esta la prueba de concepto, vamos a leer lo y descargarlo para ver si podemos tener ejecución de comandos:
Obteniendo una Reverse Shell
Es momento de obtener una conexión reversa hacia nuestra maquina atacante, vamos a intentar la forma tradicional one-liner para obtenerla.
Primero que nada hay que estar en la escucha de la conexión en nuestra Kali:
Dejamos esto por un lado y regresamos a nuestra conexión reversa:
Parece ser que no le gusta, vamos a ver si es por los ampersand a ver si es por esto que esta intentando interpretarlo de forma web encoded:
Parece ser que tampoco le gustó.
Otra forma es intentar con netcat, para eso revisamos si es que lo tiene instalado:
Tenemos netcat, ahora si ejecutamos:
Volvemos a nuestra espera de conexión y ...
Excelente, estamos dentro
Hacemos un tratamiento rápido de la TTY para poder maniobrar de forma mas cómoda:
Ahora si, podemos realizar Ctrl + L, Ctrl + C, arriba, abajo, izquierda, derecha sin el temor de perder la shell.
Escalada de privilegios
Es momento de ver como elevar privilegios, para esto vamos a realizar el típico sudo -l para ver si podemos ejecutar algún comando, ojo sin que nos pida contraseña ya que para el usuario actual (niinhack) no contamos por el momento con contraseña:
Bueno, vamos a buscar archivos con permisos SUID a ver si encontramos algo:
Y efectivamente, son SUID
En lo personal, a mi me gusta ir a la pagina de GTFOBins para verificar las posibles escaladas de privilegios, vamos uno a uno a ver que podemos encontrar...
Para los dos primeros binarios no encontré nada pero si para dosbox, vamos a ir a SUID...
Tenemos la posibilidad de usar SUID y SUDO, ya que ambas parecen similares y además por que SUDO si lo tenemos en nuestra maquina victima.
Por ahí vemos que nos pide un archivo con su path completo:
Primero que nada vamos a ver que hace este comando normalmente, es también muy buena practica saber que hace un binario, al menos en sus parámetros más básicos para poder ver como poder elevar privilegios:
Encontré este post que me ayudo a entender bastantes cosas.
1- Algo que me queda claro es que emula DOS en el sistema operativo host de Linux, es decir puedo ejecutar comandos DOS.
2- Puedo montar unidades en sistema Linux de forma dinámica.
Algo que podemos ejecutar, si es que nos deja, es agregar capacidades sudoers para nuestro usuario para todos los programas ya que como lo indica el GTFObins, podemos elegir un archivo a escribir:
Al final nos quedaría ejecutar:
NOTA: por ahí en la imagen anterior se me paso cambiarle el tamaño de mi tty a la terminal, así que te dejo nuevamente los 2 comandos que ejecute ahora con el tamaño correcto:
Y boom! ya somos root!
Y es así que hemos Pwneado la maquina Eclipse!
Espero te haya gustado este WriteUp, y si llegaras a tener alguna duda, favor de hacérmela saber que con gusto la leeré y resolveré.
Gracias por pasar por aquí, nos leemos en un siguiente post.
Comentarios
Publicar un comentario