Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-12-28 07:58 EST
Nmap scan report for 172.17.0.3
Host is up (0.000044s latency).
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 9.6p1 Ubuntu 3ubuntu13.5 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
| 256 20:c2:39:55:4e:1e:5f:4e:1d:e7:f1:17:39:1a:4e:7a (ECDSA)
|_ 256 a5:b5:c0:f2:ce:3e:1a:e4:eb:f8:c3:dd:b5:c6:f3:b3 (ED25519)
80/tcp open http Apache httpd 2.4.58 ((Ubuntu))
|_http-title: P\xC3\xA1gina Web Profesional
|_http-server-header: Apache/2.4.58 (Ubuntu)
MAC Address: 02:42:AC:11:00:03 (Unknown)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 6.65 seconds
Si entramos a la pagina web aparentemente no encontramos nada interesante, pero si nos vamos al footer veremos que hay un dominio escrito, por lo que vamos a modificar el hosts para asi poder cargar dicho dominio y ver que hay dentro del mismo.
nano /etc/hosts
#Dentro del nano
<IP> cracker.dl
Lo guardamos y ahora pondremos lo siguiente.
URL = http://cracker.dl
Si entramos aqui veremos una pagina dedicada al cracking, pero seguimos sin ver nada interesante, por lo que vamos a ver si encontramos un subdominio oculto que se encuentre en dicho dominio.
Vemos que hemos encontrado un subdominio valido llamado japan, por lo que haremos lo siguiente.
nano /etc/hosts
#Dentro del nano
<IP> cracker.dl japan.cracker.dl
Lo guardamos y ahora nos iremos a dicho subdominio, para ver lo que contiene...
URL = http://japan.cracker.dl
Si entramos aqui, podremos ver que nos proporciona un boton en el que podremos descargar un software llamado PanelAdmin, una vez que nos lo descarguemos, si no ejecutamos veremos lo siguiente:
Vemos que tendremos que introducir un SERIAL para poder acceder al Panel del admin, por lo que tendremos que realizar ingenieria inversa para poder descubrir dicho SERIAL.
Ingenieria Inversa (PanelAdmin)
Ghidra
En mi caso utilizare ghidra para poder decompilar el binario y poder descubrir en que funcion se pasa como validacion el SERIAL para intentar descubrirlo.
Creamos un nuevo proyecto y dentro de dicho proyecto, le daremos al siguiente boton.
Y dentro de este apartado, importaremos el archivo PanelAdmin para que nos lo decompile, una vez echo esto, si nos vamos en la parte izquierda veremos lo siguiente:
Vamos a ir a ver las funciones que hay, para ver si podemos descubrir alguna que sea interesante donde se pase el SERIAL.
Si nos vamos a la siguiente funcion llamada validate_serial que tiene pinta de que puede contener el SERIAL veremos lo siguiente:
Podremos ver el SERIAL en partes y donde pone el %s vemos unos guiones, por lo que va sujeto a guiones, viendose de la siguiente forma:
47378-10239-84236-54367-83291-78354
Por lo que vamos a probar a ver si es el SERIAL correcto.
Si ponemos dicho SERIAL veremos que es el correcto, por lo que entraremos al panel de admin, viendo algo asi:
Hay una opcion interesante llamada Mostrar Contraseña Secreta que si le damos veremos algo asi:
Por lo que vemos, estamos viendo una contraseña que puede ser la de un usuario del sistema, no sabemos el usuario, pero vamos a probar si el usuario es cracker ya que la pagina se llama asi y esta dedicado al cracking, por lo que haremos lo siguiente.
SSH
ssh cracker@<IP>
Metemos como contraseña #P@$$w0rd!%#S€c7T y veremos que estamos dentro, por lo que leeremos la flag del usuario.
user.txt
5daa85f6664733de9e889c30fe4f3792
Escalate Privileges
Si recordamos el SERIAL que introducimos anteriormente pata el binario de PanelAdmin lo podremos probar como contraseña para root.
su root
Metemos como contraseña 47378-10239-84236-54367-83291-78354 y veremos que somos root, por lo que leeremos la flag de root:
