SUNSET_DUSK VulnHub
Escaneo de puertos
nmap -p- --min-rate 5000 -sV <IP>Info:
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-06-03 04:56 EDT
Nmap scan report for 192.168.195.148
Host is up (0.00061s latency).
PORT STATE SERVICE VERSION
21/tcp open ftp pyftpdlib 1.5.5
| ftp-syst:
| STAT:
| FTP server status:
| Connected to: 192.168.195.148:21
| Waiting for username.
| TYPE: ASCII; STRUcture: File; MODE: Stream
| Data connection closed.
|_End of status.
22/tcp open ssh OpenSSH 7.9p1 Debian 10+deb10u1 (protocol 2.0)
| ssh-hostkey:
| 2048 b5:ff:69:2a:03:fd:6d:04:ed:2a:06:aa:bf:b2:6a:7c (RSA)
| 256 0b:6f:20:d6:7c:6c:84:be:d8:40:61:69:a2:c6:e8:8a (ECDSA)
|_ 256 85:ff:47:d9:92:50:cb:f7:44:6c:b4:f4:5c:e9:1c:ed (ED25519)
25/tcp open smtp Postfix smtpd
|_smtp-commands: dusk.dusk, PIPELINING, SIZE 10240000, VRFY, ETRN, STARTTLS, ENHANCEDSTATUSCODES, 8BITMIME, DSN, SMTPUTF8, CHUNKING
80/tcp open http Apache httpd 2.4.38 ((Debian))
|_http-server-header: Apache/2.4.38 (Debian)
|_http-title: Apache2 Debian Default Page: It works
3306/tcp open mysql MySQL 5.5.5-10.3.18-MariaDB-0+deb10u1
| mysql-info:
| Protocol: 10
| Version: 5.5.5-10.3.18-MariaDB-0+deb10u1
| Thread ID: 38
| Capabilities flags: 63486
| Some Capabilities: Support41Auth, SupportsCompression, Speaks41ProtocolOld, LongColumnFlag, ConnectWithDatabase, SupportsTransactions, ODBCClient, Speaks41ProtocolNew, IgnoreSpaceBeforeParenthesis, FoundRows, IgnoreSigpipes, InteractiveClient, DontAllowDatabaseTableColumn, SupportsLoadDataLocal, SupportsMultipleResults, SupportsMultipleStatments, SupportsAuthPlugins
| Status: Autocommit
| Salt: bNB@['N5\Rg.My;Z2(s-
|_ Auth Plugin Name: mysql_native_password
8080/tcp open http PHP cli server 5.5 or later (PHP 7.3.11-1)
|_http-open-proxy: Proxy might be redirecting requests
|_http-title: Site doesn't have a title (text/html; charset=UTF-8).
MAC Address: 00:0C:29:A9:F3:41 (VMware)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.9
Network Distance: 1 hop
Service Info: Host: dusk.dusk; OS: Linux; CPE: cpe:/o:linux:linux_kernel
TRACEROUTE
HOP RTT ADDRESS
1 0.61 ms 192.168.195.148
OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 51.18 secondsPuerto 8080
Aqui vemos que nos pinta unos archivos los cuales nos descargaremos con curl...
Si miramos en la ubicacion donde estamos depositando los archivos...
Pero si lo empezamos a investigar no descubrimos mucho mas ni con steghide, binwalk y file...
Hydra
Info:
Credentials
root
MySQL
Con esto ya estariamos dentro de mysql...
Info:
Por lo que vemos no hay ninguna base de datos creada por el usuario, por lo que haremos alguna injeccion de codigo de mysql con php de la siguiente manera...
URL = https://www.mrjamiebowman.com/hacking/command-line-mysql-for-hackers/
Con esto lo que vamos hacer es crear el archivo shell.php en la ubicacion /var/tmp/ la cual ya vimos en la pagina del puerto 8080, por lo que si nos vamos a la pagina de nuevo veremos neustro archivo .php en la pagina por lo que haremos lo siguiente...
Info:
Vemos que funciona, por lo que haremos lo siguiente...
Lo que vamos hacer aqui es hacer una Reverse Shell...
Y con esto ya estariamos con el usuario www-data con una shell dentro del servidor...
Ahora tendremos que sanitizar la shell...
Si nos vamos a la /home del usuario dusk leeremos la flag...
user.txt (flag1)
Si ponemos el siguiente comando...
Veremos que hay una linea interesante...
Esto actua como un /bin/bash con permisos SUID por lo que si hacemos lo siguiente podremos ser root...
URL = https://github.com/Almorabea/pkexec-exploit
Con esto nos clonamos el repositorio de GitHub para poder utilizarlo en el servidor...
Info:
Con esto ya seriamos root, por lo que ahora nos iremos a leer la flag...
root.txt (flag2)
Last updated