Introducción
En esta ocasión, vamos a hacer algo distinto. Vamos a tratar de explotar la máquina VIDEOCLUB creada por el jefe @ShellDredd. Es una máquina Linux y su nivel de dificultad es fácil.
Enumeración
Comenzamos determinando que IP tiene la máquina víctima dentro de la red. Esto se realiza de la siguiente manera:
![](https://elhackeretico.com/wp-content/uploads/2022/03/1-2.png)
Una vez conocida la IP, vamos a enumerar que servicios tiene abiertos utilizando la herramienta scanports.sh
![](https://elhackeretico.com/wp-content/uploads/2022/03/2-1.png)
La ejecución del script scanports.sh nos ayuda a recopilar información sobre nuestro objetivo. En este caso, la máquina tiene abiertos los puertos 22 (OpenSSH 7.9p1) y el puerto 3377 (Apache httpd 2.4.38).
El siguiente paso será agregar el nombre de dominio DNS y agregarlo a /etc/hosts, ya que estamos practicando en una red de área local.
![](https://elhackeretico.com/wp-content/uploads/2022/03/3-1.png)
Abrimos el puerto 3377 en el navegador.
![](https://elhackeretico.com/wp-content/uploads/2022/03/4-1-1024x502.png)
El siguiente paso será hacer fuzzing de los directorios que contiene esta web. Para ello vamos a utilizar la tool dirb.
![](https://elhackeretico.com/wp-content/uploads/2022/03/5-1.png)
Vamos a comenzar accediendo a robots.txt
![](https://elhackeretico.com/wp-content/uploads/2022/03/6-1.png)
Donde vemos, lo que parece ser algún tipo de hash. Vamos a averiguarlo utilizando la herramienta CrackStation.
![](https://elhackeretico.com/wp-content/uploads/2022/03/7-1-1024x358.png)
No obtenemos resultados. Parece ser un mensaje aleatorio.
Si seguimos más abajo en robots.txt, encontramos lo que parece un archivo de usuarios, que más adelante abriremos.
![](https://elhackeretico.com/wp-content/uploads/2022/03/8-1.png)
![](https://elhackeretico.com/wp-content/uploads/2022/03/9-1.png)
Descargamos el contenido de los directorios /videos e /images.
![](https://elhackeretico.com/wp-content/uploads/2022/03/10-1.png)
Extraemos los metadatos de todas las imágenes de la siguiente manera:
![](https://elhackeretico.com/wp-content/uploads/2022/03/11-1.png)
Una vez ejecutado obtenemos los metadatos de todas las imágenes que estaban contenidas en el servidor web. De entre todos los resultados, vemos uno que resulta sospechoso:
![](https://elhackeretico.com/wp-content/uploads/2022/03/12-1.png)
![](https://elhackeretico.com/wp-content/uploads/2022/03/13-1.png)
Hacemos el mismo procedimiento en el directorio /videos.
![](https://elhackeretico.com/wp-content/uploads/2022/03/14-1.png)
Abrimos el directorio /videos en el navegador, para ver su contenido. Abrimos las diferentes rutas encontradas en el navegador web, pero no contienen información relevante. En t3rm1n4t0r parece que hay un hash.
![](https://elhackeretico.com/wp-content/uploads/2022/03/15-1.png)
![](https://elhackeretico.com/wp-content/uploads/2022/03/16-1.png)
Volveré. No hay mucho más en esa página.
Ahora probamos con c0ntr0l.
![](https://elhackeretico.com/wp-content/uploads/2022/03/17-1.png)
Pero nos devuelve que no existe como tal. ¿Y si c0ntr0l fuese un archivo y no un directorio? Para ello, vamos a utilizar Burp Suite.
![](https://elhackeretico.com/wp-content/uploads/2022/03/18-1-1024x528.png)
Como resultado tenemos que c0ntr0l es un archivo php. Lo abrimos en el navegador web. Pero aparece sin contenido.
![](https://elhackeretico.com/wp-content/uploads/2022/03/19-1.png)
Una de las cosas que podemos hacer con este archivo es probar si es vulnerable a RCE. Para ello, vamos a utilziar la lista de usuarios que encontramos al principio de la enumeración de la máquina, y volveremos a utilizar la herramienta Burp Suite.
![](https://elhackeretico.com/wp-content/uploads/2022/03/20-1.png)
Cargamos los usuarios de la lista users.txt
![](https://elhackeretico.com/wp-content/uploads/2022/03/21-1.png)
Y comenzamos a fuzzear.
![](https://elhackeretico.com/wp-content/uploads/2022/03/22-1.png)
En los resultados vemos que f1ynn nos devuelve información. Ahora regresamos al navegador web.
![](https://elhackeretico.com/wp-content/uploads/2022/03/23-1-1024x62.png)
Y vemos que podemos ejecutar comandos.
Como podemos ejecutar comandos, vamos a intentar obtener una reverse shell. Para ello, vamos a utilziar la tool shellerator. Vamos a ello.
![](https://elhackeretico.com/wp-content/uploads/2022/03/24-1.png)
Ahora vamos a utilizar alguno de los resultados generador por la herramienta para ejecutar la shell reversa.
![](https://elhackeretico.com/wp-content/uploads/2022/03/25-1-1024x224.png)
![](https://elhackeretico.com/wp-content/uploads/2022/03/26-1.png)
Tenemos acceso a la máquina vícitma. Ahora procedemos a la elevación de privilegios.
Elevación de privilegios
Inspeccionando los distintos directorios disponibles en la máquina objetivo, llegamos al directorio /home/librarían/ donde encontramos el archivo user.txt con la flag correspondiente.
![](https://elhackeretico.com/wp-content/uploads/2022/03/27-1.png)
Seguimos ahora con la búsqueda de la flag root.txt. www-data tiene permisos SUID para la ejecución del archivo binario ionice.
![](https://elhackeretico.com/wp-content/uploads/2022/03/28-1.png)
![](https://elhackeretico.com/wp-content/uploads/2022/03/29-1.png)
Ejecutamos el comando ./ionice /bin/sh –p
![](https://elhackeretico.com/wp-content/uploads/2022/03/30-1.png)
Y como podemos ver en la imagen, somos usuario con privilegios root. Ahora vamos a localizar la flag root.txt. Para ello volvemos al directorio raíz / y con el comando find –name root.txt, localizamos la ruta donde se encuentra el archivo.
![](https://elhackeretico.com/wp-content/uploads/2022/03/31-1.png)
![](https://elhackeretico.com/wp-content/uploads/2022/03/32-1.png)
¡Y ya tenemos la flag root y la máquina términada!
No responses yet