Apolos DockerLabs (Intermediate)

Instalación

Cuando obtenemos el .zip nos lo pasamos al entorno en el que vamos a empezar a hackear la maquina y haremos lo siguiente.

unzip apolos.zip

Nos lo descomprimira y despues montamos la maquina de la siguiente forma.

bash auto_deploy.sh apolos.tar

Info:

                            ##        .         
                      ## ## ##       ==         
                   ## ## ## ##      ===         
               /""""""""""""""""\___/ ===       
          ~~~ {~~ ~~~~ ~~~ ~~~~ ~~ ~ /  ===- ~~~
               \______ o          __/           
                 \    \        __/            
                  \____\______/               
                                          
  ___  ____ ____ _  _ ____ ____ _    ____ ___  ____ 
  |  \ |  | |    |_/  |___ |__/ |    |__| |__] [__  
  |__/ |__| |___ | \_ |___ |  \ |___ |  | |__] ___] 
                                         
                                     

Estamos desplegando la máquina vulnerable, espere un momento.

Máquina desplegada, su dirección IP es --> 172.17.0.2

Presiona Ctrl+C cuando termines con la máquina para eliminarla

Por lo que cuando terminemos de hackearla, le damos a Ctrl+C y nos eliminara la maquina para que no se queden archivos basura.

Escaneo de puertos

Info:

Vemos una pagina normal de Apple pero nada fuera de lo normal, si nos vamos al cuenta vemos que nos aparece un inicio de sesion, probando con las credenciales por defecto no encontraremos nada, por lo que vamos a realizar un poco de fuzzing.

Gobuster

Info:

Vemos bastantes directorios interesantes entre ellos uno llamado /register.php que por lo que vemos nos podremos logear, por lo que vamos a entrar ahi.

Cuando nos hayamos registrado y nos muestre este mensaje:

Iremos a la siguiente URL para meternos con dichas credenciales:

Una vez dentro con las credenciales que hemos metido, veremos que iniciamos sesion de forma correcta.

Veremos que no tenemos mucho que hacer, pero si nos vamos donde neustro carrito veremos que hay varios productos y una barra de buscar bastante interesante, vamos a probar si fuera vulnerable a un SQL Injection, vamos a capturar la peticion de la barra de busqueda con cualquier palabra insertada con BurpSuite para darselo a sqlmap y probar si es vulnerable a un SQL Injection.

sqlmap

request.txt

Habiendo capturado la peticion con BurpSuite y pasarlo a un .txt pondremos lo siguiente para probar si es vulenrable.

Info:

Vemos que si lo es y nos muestra las bases de datos que hay, por lo que vamos a ver que tablas contiene la base de datos llamada apple_store que es la mas interesante.

Info:

Vemos que la tabla que mas nos interesa es la llamada users, por lo que sacaremos toda la info de dicha tabla.

Info:

Vemos que nos saca varias credenciales, pero sus contraseñas estan hasheadas por lo que vamos a intentar crackear la contraseña al menos del usuario admin y luisillo, ya que los demas usuarios no tienen importancia.

URL = Pagina CrackNet

Escalate user www-data

Vemos que hemos conseguido crackear los dos usuarios, pero vamos a entrar con el de admin ya que tiene mas pinta el otro usuario de ser uno del sistema.

Por lo que tendremos que irnos al apartado de login.php y meter las siguientes credenciales.

Una vez dentro como el usuario admin vemos que abajo del todo nos pone una opcion de Ir al panel del administrador, si le damos nos llevara a la siguiente direccion.

Si nos vamos a la seccion llamada Configuracion veremos que nos permite subir un archivo, vamos a probar a subir un archivo .php para crearnos una reverse shell, pero cuando lo subamos nos pondra que es potencialmente peligroso, por lo que vamos a intentar bypassear la extension, por si fuera la extension de la siguiente forma.

Lo guardamos y ahora probaremos a subirlo, cuando le demos a subir y lo enviemos, veremos que nos pone el siguiente mensaje:

Por lo que vemos hemos podido bypassear la extension del archivo y si recordamos anteriormente en el gobuster tenemos un directorio llamado /uploads por lo que iremos a el que es donde seguramente este ese archivo.

Vemos que efectivamente esta nuestro archivo, pero antes de pulsarlo nos pondremos a al escucha.

Y si ahora pulsamos el archivo en la web, y volvemos a donde tenemos la escucha, veremos lo siguiente:

Vemos que somos el usuario www-data, por lo que tendremos que sanitizar un poco la shell.

Sanitización de shell (TTY)

Escalate user luisillo

Vemos que esta el siguiente usuario en el sistema.

Info:

Pero si probamos con la contraseña que encontramos anteriormente no nos funcionara, por lo que vamos a probar a tirarle fuerza bruta con el comando su con el siguiente script llamado suBruteforce.sh.

URL = suBruteforce.sh GitHub

Primero nos tendremos que copiar el codigo del sh en nuestra maquina host en un archivo .sh y despues nos copiaremos el rockyou.txt a nuestro directorio actual, en el abriremos un servidor de python3 para pasarnos todo a la maquina victima.

Una vez teniendo el server activo, en la maquina victima haremos lo siguiente:

Una vez pasado todo, tendremos que ver los siguiente archivos en la carpeta /tmp.

Info:

Por lo que ejecutaremos el script de la siguiente forma:

Info:

Ahora haremos lo siguiente:

Metemos como contraseña 19831983 y veremos que estamos dentro.

Escalate Privileges

Si hacemos lo siguiente podremos leer el shadow:

Info:

Vamos a coger el hash del usuario root e intentar crackearlo con john de la siguiente forma:

hash

Info:

Vemos que lo pudimos crackear, por lo que haremos lo siguiente en la maquina victima:

Metemos como contraseña rainbow2 y veremos que somos el usuario root, por lo que ya habremos terminado la maquina.

PreviousWhoiam DockerLabs (Easy)NextInjection DockerLabs (Very Easy)

Last updated