Cuando obtenemos el .zip nos lo pasamos al entorno en el que vamos a empezar a hackear la maquina y haremos lo siguiente.
unzipwalking_dead.zip
Nos lo descomprimira y despues montamos la maquina de la siguiente forma.
bashauto_deploy.shwalking_dead.tar
Info:
## .
## ## ## ==
## ## ## ## ===
/""""""""""""""""\___/ ===
~~~ {~~ ~~~~ ~~~ ~~~~ ~~ ~ / ===- ~~~
\______ o __/
\ \ __/
\____\______/
___ ____ ____ _ _ ____ ____ _ ____ ___ ____
| \ | | | |_/ |___ |__/ | |__| |__] [__
|__/ |__| |___ | \_ |___ | \ |___ | | |__] ___]
Estamos desplegando la máquina vulnerable, espere un momento.
Máquina desplegada, su dirección IP es --> 172.17.0.2
Presiona Ctrl+C cuando termines con la máquina para eliminarla
Por lo que cuando terminemos de hackearla, le damos a Ctrl+C y nos eliminara la maquina para que no se queden archivos basura.
Escaneo de puertos
Info:
Si vamos a la pagina web e inspeccionamos el codigo, vemos lo siguiente bastante interesante:
Vemos que hay una carpeta llamada hidden junto con un archivo oculto que parece ser una shell en PHP, si nos metemos a dicho archivo veremos todo en blanco, lo que quiere decir que todo esta en PHP y no hay nada que a nivel usuario se pueda ver.
Si realizamos un poco de fuzzing encontramos lo siguiente:
Gobuster
Info:
Vemos varias cosas interesantes, si vamos al /backup.txt veremos el siguiente texto:
Que no nos dice mucho, pero si recordamos tenemos una extension .php en el archivo .shell.php por lo que vamos a probar a ver si tuviera algun parametro vulnerable en el que se pueda hacer injeccion de codigo:
FFUF
Info:
Vemos que en el parametro llamado cmd podemos realizar ejecuccion de comandos, por lo que haremos lo siguiente:
Info:
Ahora vamos ha realizar una reverse shell de la siguiente forma, nos pondremos a la escucha:
Y ahora en la URL pondremos lo siguiente:
Enviamos esto y si volvemos a donde tenemos la escucha veremos lo siguiente:
Por lo que vemos seremos el usuario www-data, tendremos que sanitizar la shell.
Sanitización de shell (TTY)
Escalate Privileges
Si listamos los permisos SUID que tenemos veremos lo siguiente:
Info:
Vemos unos permisos SUID bastante interesantes, que sera el siguiente:
Por lo que vemos podremos ejecutar python3.8 como el usuario root ya que podemos ejecutarlo en su nombre.
Info:
Y con esto ya seremos root, por lo que habremos terminado la maquina.
Starting Nmap 7.94SVN ( https://nmap.org ) at 2025-02-16 11:14 EST
Nmap scan report for 172.17.0.2
Host is up (0.000034s latency).
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 8.2p1 Ubuntu 4ubuntu0.11 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
| 3072 0d:09:9d:0f:dc:43:54:cd:39:a9:e2:d6:81:74:40:e8 (RSA)
| 256 09:d0:f6:52:00:3f:21:51:19:b1:c6:7a:f4:ff:21:01 (ECDSA)
|_ 256 19:e0:b3:72:bd:e9:1e:8d:4c:c4:fd:1f:da:3f:a5:cf (ED25519)
80/tcp open http Apache httpd 2.4.41 ((Ubuntu))
|_http-server-header: Apache/2.4.41 (Ubuntu)
|_http-title: The Walking Dead - CTF
MAC Address: 02:42:AC:11:00:02 (Unknown)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 6.76 seconds
listening on [any] 7777 ...
connect to [192.168.5.186] from (UNKNOWN) [172.17.0.2] 34630
bash: cannot set terminal process group (23): Inappropriate ioctl for device
bash: no job control in this shell
www-data@1d3cc124941a:/var/www/html/hidden$ whoami
whoami
www-data
script /dev/null -c bash
# <Ctrl> + <z>
stty raw -echo; fg
reset xterm
export TERM=xterm
export SHELL=/bin/bash
# Para ver las dimensiones de nuestra consola en el Host
stty size
# Para redimensionar la consola ajustando los parametros adecuados
stty rows <ROWS> columns <COLUMNS>
