doubletrouble VulnHub

Escaneo de puertos

nmap -p- --min-rate 5000 -sS <IP>

Info:

Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-05-19 14:35 CEST
Nmap scan report for 192.168.28.36
Host is up (0.00035s latency).

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
| ssh-hostkey: 
|   2048 6a:fe:d6:17:23:cb:90:79:2b:b1:2d:37:53:97:46:58 (RSA)
|   256 5b:c4:68:d1:89:59:d7:48:b0:96:f3:11:87:1c:08:ac (ECDSA)
|_  256 61:39:66:88:1d:8f:f1:d0:40:61:1e:99:c5:1a:1f:f4 (ED25519)
80/tcp open  http    Apache httpd 2.4.38 ((Debian))
|_http-title: qdPM | Login
|_http-server-header: Apache/2.4.38 (Debian)
MAC Address: 08:00:27:09:08:24 (Oracle VirtualBox virtual NIC)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running: Linux 4.X|5.X
OS CPE: cpe:/o:linux:linux_kernel:4 cpe:/o:linux:linux_kernel:5
OS details: Linux 4.15 - 5.8
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

TRACEROUTE
HOP RTT     ADDRESS
1   0.35 ms 192.168.28.36

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 8.27 seconds

Gobuster

Info:

Si utilizamos un exploit caracteristico de estas paginas...

Nos descarga un archivo de configuracion con las credenciales de un usuario admin para mysql pero como no esta abierto el puerto de mysql nos guardaremos las credenciales por si acaso...

Y si nos vamos a la URL de la ubicacion de la carpeta /secret/ nos encontraremos una imagen en la que pone un letrero el usuario y contraseña que nos encontramos anteriormente...

Ejecutamos el siguiente coamando para extraer los archivos ocultos de esa iamgen...

Info:

Nos extraera 1 archivo llamado doubletrouble.jpg.out que si lo abrimos dice lo siguiente...

Una vez dentro de este panel de login, vemos que somos administradores, por lo que creamo un nuevo proyecto y adjuntamos un archivo con una Reverse Shell y una vez hecho eso nos vamos a la URL de /uploads/ donde se encontrara el archivo, lo clicamos estando a la escucha y ya seriamos www-data...

Despues de que hagamos conexion con la Reverse Shell la sanitizamos...

Dentro del servidor ejecutamos el siguiente comando...

Info:

Vemos que hay un mysql corriendo dentro del servidor, a parte de que tenemos las credenciales de mysql, hacemos lo siguiente...

Pero no hay mucha cosa dentro de mysql...

Pero si hacemos sudo -l veremos lo siguiente...

Por lo que pondremos el siguiente comando...

Con esto ya seriamos root pero por lo que vemos tenemos otra maquina dentro llamada doubletrouble.ova...

Escaneo de puertos

Info:

Puerto 80

Si nos vamos a la pagina web que aparece en el puerto 80 veremos un formulario de login que parece vulnerable a MYSQL Injection...

Lo que hacemos ahora es con BurpSuit capturamos la peticion del login y lo guardamos en un .txt para probar si es inyectable...

Info:

Vemos que hay una base de datos llamada doubletrouble, vamos a tirar por ahi...

Info:

Por lo que vemos nos saca unas credenciales...

Con las credenciales del nombre clapton nos podremos meter por ssh...

Una vez dentro leemos la flag del usuario...

user.txt (flag1)

Si nos dirigimos a /var/ descubrimos que hay un archivo .zip el cual nos vamos a descargar mediante un servidro de python...

Y en la parte del host...

Nos creara una carpeta llamada www y si entramos dentro de ella, veremos varios archivos...

Si abrimos el .zip veremos que tiene contraseña, por lo que utilizamos el john...

Info:

Info:

Con esto habremos crackeado la contraseña del .zip y si vemos dentro del .txt con la contraseña...

Veremos que son unas credenciales pero no nos sirven de mucho...

Volviendo al servidor con nuestro usuario, si hacemos el siguiente comando...

Nos muestra la version del sistema operativo y si nos fijamos en le kernel...

Info Kernel:

Si buscamos un exploit para esa version del kernel lo encontraremos y es un archivo .c por lo que lo tendremos que compilar, pero todo esto dentro del servidor, por lo que nos lo pasamos al servidor...

Una vez teniendo el exploit lo compilamos de la siguiente manera...

Lo ejecutamos...

Info:

Y una vez hecho esto nos saca la contraseña de root por lo que hacemos lo siguiente...

Metemos la contraseña que nos proporciono el exploit y ya seriamos root, leemos la flag de root...

root.txt (flag2)

Previousdriftingblues_7 VulnHubNextDripping_blues VulnHub

Last updated