CTF HackMeDaddy Hard
URL Download CTF = https://drive.google.com/file/d/1VCC-mMIGoh-JUgcbCnHdKTqQQXq-yxf5/view?usp=sharing
Instalación
Cuando obtenemos el .zip nos lo pasamos al entorno en el que vamos a empezar a hackear la maquina y haremos lo siguiente.
unzip hackmedaddy.zipNos lo descomprimira y despues montamos la maquina de la siguiente forma.
bash auto_run.sh hackmedaddy.tarInfo:
██████╗ ██╗ ██╗███╗ ██╗██████╗ ██████╗ ██╗
██╔══██╗██║ ██║████╗ ██║╚════██╗██╔══██╗██║
██████╔╝██║ █╗ ██║██╔██╗ ██║ █████╔╝██║ ██║██║
██╔═══╝ ██║███╗██║██║╚██╗██║ ╚═══██╗██║ ██║╚═╝
██║ ╚███╔███╔╝██║ ╚████║██████╔╝██████╔╝██╗
╚═╝ ╚══╝╚══╝ ╚═╝ ╚═══╝╚═════╝ ╚═════╝ ╚═╝
==
@+:@ @##@
@++:-----+@ @@#+:----:+#
#-+-----:+:---------:
*::-----++-----::::#
::------+:--------:
#-+------+:-::-----#@
*::+=@@#++-------::@
@+= @++::+#@@@#*#
#-@
*+#++@
+-:::+-@
:-:+:::+
@+::*::::
*::++-::*
=:--:-:++ @-#
#*:---:--++@ @@
@::-:--++*
@::-:++#
*++*
:: Plataforma de máquinas vulnerables ::
:: Desarrollado por Pwn3d! y Dockerlabs - creado por @d1se0 ::
█▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀█
█ FLAG{Pwn3d!_is_awesome!} █
█▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄█
[✔] bc ya está instalado.
[✔] Docker ya está instalado
[!] Limpiando previos contenedores e imágenes
[✔] Cargando la máquina virtual
[✔] Activando máquina virtual
[✔] Máquina activa. Dirección IP: 172.17.0.2
[!] Presiona Ctrl+C para limpiar y salir
Por lo que cuando terminemos de hackearla, le damos a Ctrl+C y nos eliminara la maquina para que no se queden archivos basura.
Escaneo de puertos
Info:
Vemos que hay un puerto 80 en el que aparentemente no hay mucho por hacer, por lo que fuzzearemos de forma mas profunda.
Gobuster
Info:
Vemos varios archivos interesantes, si leemos el /info.txt veremos lo siguiente.
Nos da una pista de que en los comandos que se van pasando cuando tu le das al boton de Ejecutar Comando en la pagina principal, aparece uno llamado README.txt que contiene palabras de las cuales 1 sirve como directorio para la URL, por lo que cogeremos esa lista de palabras y le tiraremos un gobuster.
fuzz.txt
Info:
Vemos que hay coincidencia con una y si lo metemos en la URL de la siguiente forma.
Veremos un archivo llamado d05notfound.php por lo que nos meteremos en el y veremos otra pagina en la que hay mucha informacion, pero si bajamos a bajo del todo, veremos algo interesante, donde pone Introduzca la dirección IP, si ponemos hay nuestra IP o la que sea va a realizar un ping, pero no se va a ver en la pagina tendremos que darle a inspeccionar codigo y veremos los resultados del ping.
Pero mas abajo poner resultados de comando: por lo que da pie a que puedes concatenar comandos, probaremos a introducir el siguiente comando.
Lo ejecutamos y visualizamos de nuevo el codigo.
Por lo que vemos funciona, ahora intentaremos hacernos una Reverse Shell hacia la maquina con esta vulnerabildiad de la siguiente forma.
Reverse Shell
Pero antes estaremos a la escucha para capturar la peticion.
Y ahora enviaremos el siguiente comando adaptandolo a nuestras necesidades.
Una vez enviado el comando, si nos vamos a donde teniamos la escucha veremos que nos ha creado una shell y si hacemos whoami veremos que somos www-data.
Por lo que sanitizaremos la shell.
Sanitizar la shell
Escalate user e1i0t
Nos iremos a la carpeta del usuario e1i0t y veremos un archivo llamado nota.txt, si la leemos veremos lo siguiente.
Nos da una pista de que tiene una agenda con las contarseñas y seguramente una de ellas sea la del usuario e1i0t, si nos vamos a la carpeta documents/ veremos 2 archivos y el que nos interesa es el llamado agenda.txt, por lo que lo utilizaremos como diccionario de palabras para saber la contarseña de e1i0t.
agenda.txt
hydra
Info:
Por lo que vemos nos saca las credenciales del usuario, asi que nos conectaremos por SSH mejor con dicho usuario.
SSH
Metemos la contraseña eliotelmejor y ya estariamos dentro.
Leemos la flag del usuario.
user.txt
Escalate user an0n1mat0
Si hacemos sudo -l veremos lo siguiente.
Por lo que podemos ejecutar como el usuario an0n1mat0 el binario find, con este binario hay una vulnerabilidad de permisos, si hacemos lo siguiente seremos el usuario an0n1mat0.
URL = https://gtfobins.github.io/gtfobins/find/#shell
Info:
Ejecutaremos /bin/bash para obtener una shell mejor y leeremos la flag de este usuario.
user2.txt
Escalate Privileges
Si hacemos sudo -l veremos que nos pedira contraseña, cosa que no tenemos, pero si investigamos mas, en la home del usuario an0n1mat0 veremos que hay un archivo llamado nota.txt que contiene lo siguiente.
Nos da una pista de que hay una carpeta secreta por alguna parte del sistema, por lo que la buscaremos.
Info:
Vemos que en la propia raiz hay una carpeta llamada asi, si vamos dentro de ella veremos un archivo llamado confidencial.txt que contiene lo siguiente.
Nos da otra pista de que en alguna parte hay un archivo llamado passwords_users.txt por lo que lo buscaremos.
Info:
Y veremos que esta en esa ubicacion, si leemos el archivo pone lo siguiente.
Nos comenta que la contraseña de este usuario esta a medias, por lo que tendremos que generar un diccionario sustituyendo esas dos X's por letras del abecedario minusculas, lo haremos con la siguiente herramienta.
mp64
Con esto habremos generado un diccionario de palabras con todas las posibles combinaciones de ese nombre sustituyendo ?l?l por letras del abecedario en minusculas.
hydra
Info:
Por lo que vemos nos saca las credenciales, por lo que volveremos a la terminal y ahora si haremos sudo -l, meteremos la contraseña obtenida por hydra y veremos lo siguiente.
Por lo que podremos ejecutar el binario de php como root, haremos lo siguiente.
URL = https://gtfobins.github.io/gtfobins/php/#sudo
Y con esto ya seriamos root, por lo que leeremos la flag.
root.txt
Last updated