Seppuku VulnHub

Escaneo de puertos

nmap -p- --min-rate 5000 -sV <IP>

Info:

Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-05-14 03:18 EDT
Nmap scan report for 192.168.195.137
Host is up (0.00060s latency).

PORT     STATE SERVICE     VERSION
21/tcp   open  ftp         vsftpd 3.0.3
22/tcp   open  ssh         OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
| ssh-hostkey: 
|   2048 cd:55:a8:e4:0f:28:bc:b2:a6:7d:41:76:bb:9f:71:f4 (RSA)
|   256 16:fa:29:e4:e0:8a:2e:7d:37:d2:6f:42:b2:dc:e9:22 (ECDSA)
|_  256 bb:74:e8:97:fa:30:8d:da:f9:5c:99:f0:d9:24:8a:d5 (ED25519)
80/tcp   open  http        nginx 1.14.2
|_http-title: 401 Authorization Required
| http-auth: 
| HTTP/1.1 401 Unauthorized\x0D
|_  Basic realm=Restricted Content
|_http-server-header: nginx/1.14.2
139/tcp  open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
445/tcp  open  netbios-ssn Samba smbd 4.9.5-Debian (workgroup: WORKGROUP)
7080/tcp open  ssl/http    LiteSpeed httpd
| ssl-cert: Subject: commonName=seppuku/organizationName=LiteSpeedCommunity/stateOrProvinceName=NJ/countryName=US
| Not valid before: 2020-05-13T06:51:35
|_Not valid after:  2022-08-11T06:51:35
|_http-server-header: LiteSpeed
|_http-title:  404 Not Found
| tls-alpn: 
|   h2
|   spdy/3
|   spdy/2
|_  http/1.1
|_ssl-date: TLS randomness does not represent time
7601/tcp open  http        Apache httpd 2.4.38 ((Debian))
|_http-title: Seppuku
|_http-server-header: Apache/2.4.38 (Debian)
8088/tcp open  http        LiteSpeed httpd
|_http-title: Seppuku
|_http-server-header: LiteSpeed
MAC Address: 00:0C:29:B8:20:03 (VMware)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running: Linux 4.X|5.X
OS CPE: cpe:/o:linux:linux_kernel:4 cpe:/o:linux:linux_kernel:5
OS details: Linux 4.15 - 5.8
Network Distance: 1 hop
Service Info: Host: SEPPUKU; OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel

Host script results:
|_clock-skew: mean: 1h20m00s, deviation: 2h18m35s, median: 0s
| smb2-time: 
|   date: 2024-05-14T07:18:55
|_  start_date: N/A
| smb2-security-mode: 
|   3:1:1: 
|_    Message signing enabled but not required
| smb-security-mode: 
|   account_used: guest
|   authentication_level: user
|   challenge_response: supported
|_  message_signing: disabled (dangerous, but default)
|_nbstat: NetBIOS name: SEPPUKU, NetBIOS user: <unknown>, NetBIOS MAC: <unknown> (unknown)
| smb-os-discovery: 
|   OS: Windows 6.1 (Samba 4.9.5-Debian)
|   Computer name: seppuku
|   NetBIOS computer name: SEPPUKU\x00
|   Domain name: \x00
|   FQDN: seppuku
|_  System time: 2024-05-14T03:18:55-04:00

TRACEROUTE
HOP RTT     ADDRESS
1   0.60 ms 192.168.195.137

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 31.28 seconds

Gobuster

Info:

Si nos vamos a /secret/ veremos varios archivos...

Si nos vamos a /keys/ nos encontraremos un id_rsa...

Pero de todo esto nos centraremos en el nombre de usuario que sabemos que es el hostname seppuku y con el diccionario de palabras que encontramos tiramos un hydra...

Info:

Y con esto entrariamos por ssh..

Si haces sudo -l veras lo siguiente...

Yo en mi caso al ver eso hice lo siguiente, lo cual mas adelante no me sirve de mucho pero si para escalar de otras formas...

Con eso creas un enlace directo a la carpeta entera de root

Despues si en la misma home leemos un archivo llamado .passwd pondria lo siguiente...

Esa es una contraseña del usuario samurai y para entrar al usuario tanto se tiene que utilizar la id_rsa que encontramos anteriormente...

Tanto

Y ya estariamos dentro de tanto dentro de este usuario crearemos las siguientes carpetas y archivos para luego ejecutarlos con samurai...

Dentro de la misma...

Y ahora llendonos al usuario samurai en /tmp/ creamos un archivo sin funcionalidad...

Por que si hacemos sudo -l en ese usuario veremos los siguiente...

Por lo que hacemos lo siguiente teniendo todo esto...

Y con esto ya seriamos root, leemos la flag...

root.txt (flag_final)

=======================================================

2º forma escala de privilegios

En el usuario sepuku teniendo los permisos de sudo -l...

Por lo que haremos lo siguiente...

En el usuario samurai si le hacemos sudo -l veremos lo siguiente...

Creamos un archivo "inutil" en /tmp que luego veremos por que... (OPCIONAL)

Si nos vamos al usuario tanto tendremos que crear la ruta del sudo -l de 'samurai'...

Lo que hacemos es comrpimir el contenido del enlace simbolico (/root/) y llevarlo a la carpeta de /.cgi_bin/ y en el usuario samurai tendremos que ir tambien a /.cgi_bin/ para que cuando se comprima esa carpeta automaticamente se abra un servidor de python y te lo puedas pasar a tu host...

Cuando haya hecho ese bin en el usuario samurai ejecutamos lo siguiente...

Y se te abrira el servidor de python, desde tu host hacemos lo siguiente...

Lo descomprimimos...

Y dentro de la carpeta root nos vamos al .ssh...

Ya seriamos root con una shell en ssh y podriamos leer la flag.

PreviousRootThis_1 VulnHubNextshenron-3 VulnHub

Last updated