Resolución de la maquina Sites | DockerLaps.es | WriteUp

  

Sites




Que tal lord & lady


El día de hoy traigo para ustedes una nueva resolución de maquina de la plataforma de https://dockerlabs.es, la maquina Sites.

Esta maquina es creada por El pingüino de Mario, tiene una dificultad media y es la maquina elegida para hackear y romper el día de hoy.


Requisitos previos:

- Tener configurado al menos una virtual como Kali o Parrot (link aquí)


Write Up maquina Sites #dockerlabs.es

Reconocimiento

Ping


Enumeración

Quick scan


Servicios y versiones



Obtuvimos 2 puertos, el 22 y el 80, 

Es hora de buscar vulnerabilidades 


Puerto 22 - OpenSSH 9.6p1

Google


Vaya vaya! 

Por aquí vemos que hay un enlace a github que pudieramos utilizar.

Vamos a darnos unos minutos para ver si es posible ingresar por aquí...


Puerto 80 - Apache httpd 2.4.58

Google



Whatweb


Parece que hay algún tipo de sitio de correo electrónico...


Sitio + Wappalizer:


Tenemos un par de cosas:

- Es un Apache 2.4.58 (we already knew it)

- Es una maquina con Ubuntu


Vamos a agregar un poco de Fuzzing:


No obtuvimos mucho con este fuzzing, 

Vamos agregar algunos parámetros para buscar archivos:


Well, well, well,

Pero que tenemos aquí

Tal ves me adelante en sacar la captura pero me emocioné de ver un archivo "vulnerable.php"

Vamos a ver que es lo que contiene:

Damos Ctrl + U (para ver si en el código pudiéramos tener alguna pista)


Pues parece ser que no

Pero al menos tenemos una pista, nos pide "page" o "username", vamos a jugar un poco para ver si es que pudiéramos recibir algo de información mandando le parámetros:


Ahora vamos a ver si es que es vulnerable a lo que dice en su pagina inicial, a un LFI (Local File Inclusion)

Parece que si!

Hemos obtenido un archivo esencial del sistema Unix, el archivo de usuarios.


Algo que pudiéramos hacer 2 cosas:
- Jugar con hydra y con el usuario "chocolate"
- Indagar más en la pagina principal ya que nos insiste mucho en lo que es un LFI


Bien, no quiero dejar cabos sueltos así que, dejare hydra ejecutando en mi maquina atacante:


Mientras tanto vamos a seguir dandole un vistazo a la pagina...


En la pagina me llamo la atención el mensaje:


Por lo que me di a la tarea de investigar un poco las carpetas del sistema, incluso en mi maquina de kali tengo instalado apache y por el cual puedo ver si es que tengo estas 2 elementos:


Así que, intente buscar el tal supuesto archivo "sitio.conf":


Parece que nos da una pista:

Vamos a ver si esta el mencionado archivo archivitotraviesito



Vaya vaya!

Tenemos un password del usuario, bueno sabemos de que usuario.


Vamos a intentar acceder con esta contraseña por ssh:


Error:

Si les llega a salir el mensaje:

Hay que ejecutar:


Ahora si


OK ese si es mi error por que deje ejecutando hydra

Detenemos:


Ejecutamos:


Done!

Hemos conseguido entrar a la maquina a partir de un LFI


Explotación


Post-Explotación

Hay algunas formas de intentar escalar privilegios para este punto.

Algunas de las opciones son:

- Intentar buscar archivos SUID

- Intentar privilegios por sudo -l

- Buscar capabilities

- Enumerar, enumerar a muerte con herramientas como linpeas.


Pero vamos por partes, buscamos permisos SUID


Uy, nada!


Intentamos con sudo -l para revisar que es lo que nuestro usuario puede ejecutar si es que existe sudoers:


Ojito aqui por que, con mi usuario chocolate podemos ejecutar el binario sed como root.


Algo interesante que me gusta siempre revisar es, GTFOBINS

En la pagina si buscamos por sed y por sudo, vemos lo siguiente:


Intentamos:


Boom!

Somos root!


Persistencia

Una cosa que me gusta mucho hacer cuando se tiene SSH en la maquina victima es tener persistencia, esto para poder trabajar la maquina pwneada directamente como atacante.


Generando clave id-rsa

En nuestra maquina kali, vamos a /home/kali/.ssh

Desde aquí vemos si ya tenemos generado una id-rsa:


Como solo tenemos los archivos known_hosts y known_hosts.old, vamos a generar una clave:


Nota: solo debes dar enter, no es necesario que indiques algo adicional, aun que si podrías.


Copiando clave a maquina victima

Es momento de copiar nuestro archivo a nuestra maquina victima.

Desde nuestra maquina atacante iniciamos un servidor http desde la ruta de nuestra clave:


Bien, 

Ahora desde nuestra maquina victima vamos a /root/.ssh



Cambiamos el nombre y damos permisos

En la ruta actual, cambiamos el nombre de id_xxxxxxx.pub a authorized_keys y le damos permisos 600



Acceso desde kali

Ahora desde nuestro usuario (en mi caso kali) en mi maquina atacante, ya podría ingresar sin ninguna contraseña a la maquina victima:


Listo!

Ya tenemos persistencia absoluta


Conclusiones

Hemos aprendido a explotar una vulnerabilidad conocida como LFI, donde pudimos obtener los usuarios del sistema de nuestra maquina victima y ademas, investigando a fondo encontramos archivos donde pudiomos encontrar una contraseña valida para un usuario que venia en el archivo /etc/passwd.

Posteriormente elevamos privilegios por la asignacion incorrecta de sudoers para el usuario chocolate consiguiendo ser root del sistema, ademas de agregar persistencia a la maquina Sites.


Muchas gracias por haberte pasado por acá, nos leemos en un siguiente WriteUp.

#HappyHacking

Comentarios

Publicar un comentario