TryHackMe | Wgel CTF | Write up (#THM) by r1cky_r3x

 

Wgel CTF

















Por
Rick Álvarez (aka r1cky_r3x)


Camino hacia el eJPTv2








Pre-Configuración TryHackMe





Nota: en ocasiones me sucede que estoy ejecutando cosas y la maquina se me queda colgada, entonces la termino y la vuelvo a iniciar con una nueva IP.


Reconocimiento

Ping, IP y SO: 


Enumeración

Quick Scan:



Servicios y versiones (Targetted Ports):


Tenemos 2 puertos:


Puerto 22

Nmap scripts



Vulnerabilidades



Puerto 80:

Nmap scripts


Vulnerabilidades



Whatweb


Sitio web + Código fuente

Ja!

Fue muy curioso encontrar eso, 

Vamos a suponer que tenemos el usuario jessie... 


Wappalyzer



Fuzzing


Encontramos algo...

Vamos al sitio:


Wappalyzer:


Vulnerabilidades

No encuentro mucho de momento... 

...

Después de un buen rato, hice un fuzzing con otro diccionario y ...


Indagamos...


Descargamos e intentamos iniciar sesión por ssh

Usuario?

Pues tenemos uno, jessie vamos a ver si es el correcto...


Explotación

Intentamos por ssh:



Y estamos dentro!

Vamos por nuestra primer flag:




Post Explotación

Vamos por el usuario root, veremos que podemos explotar para elevar privielgios...


SUID



SUDO

Parece ser que no le gusta la ejecución según GTFOBINS

...

De momento sabemos que podemos ejecutar wget como root sin contraseña .. 

Vale una cosa que se me ocurrió es ... y si intentamos leer los archivos /etc/passwd y /etc/shadow de la maquina victima con wget?

Tal vez pudiéramos intentar también traer un id_rsa de root , si es que existe...


Veamos como podemos hacer esto...

Despues de hacer algunas pruebas, por fin lo logre:

Maquina kali:



Maquina victima:


Ejecutamos y ...


Esto lo dejamos en un archivo passwd.txt

Y hacemos lo mismo para el /etc/shadow



Y esto lo depositamos en un archivo shadow.txt


Aquí vemos que el usuario jessie tiene una contraseña que podríamos cambiar.

Aquí podríamos intentar 2 cosas:

1- fuerza bruta con john

Esta la deje un muy buen rato y no me dio resultados, ni siquiera termino...

Pero te explicó el proceso (ya que te puede servir para otros CTFs)...


Hacemos unshadow...

Nota: en mi archivo unshadow, solo deje la informaciondel usuario jessie, para que demoré lo menos posible la fuerza bruta pasiva.


La verdad tomo mucho y no me dio la contraseña...


2- sobrescribir la contraseña

En nuestra máquina de kali:



Reemplazamos el sha512 del archivo shadow.txt con nuestro nuevo sha512


Guardamos e iniciamos un servidor web en python...


Maquina victima:


Tal parece que si le gusto, ahora si momento de la verdad...


Recordemos que tenemos permiso SUDO para el usuario jessie, pero pide contraseña (ALL : ALL) ALL

Algo que ahora podemos hacer es:


Y vamos por nuestra fflag:









Y es así que hemos Pwneado nuestra maquina Wget CTF.



Comentarios

Publicar un comentario