Write-ups

Resolución del CTF JAULACON2025

💢CTF DISPONIBLE EN TheHackersLabs💢

❌Nombre: JAULACON2025
📈Nivel: Principiante
💻OS: Linux
💢Caregoría: Seguridad Ofensiva
🙋🏽‍♂️Creador: Curiosidades De Hackers & Condor Hacks
https://thehackerslabs.com/jaulacon2025/

Enumeración

1. Escaneo de puertos

Realizamos un escaneo de todos los puertos para saber cuáles están activos.
Los parámetros utilizados son:

  • -p- : Escaneo de todos los puertos. (65535)
  • -sS : Realiza un TCP SYN Scan para escanear de manera rápida que puertos están abiertos.
  • -sC : Realiz una escaneo con los scripts basicos de reconocimiento
  • -sV : Realiza un escaneo en buqueda de los servicios
  • –min-rate 5000: Especificamos que el escaneo de puertos no vaya más lento que 5000 paquetes por segundo, el parámetro anterior y este hacen que el escaneo se demore menos.
  • -n: No realiza resolución de DNS, evitamos que el escaneo dure más tiempo del necesario.
  • -Pn: Deshabilitamos el descubrimiento de host mediante ping.

Resultados:

  • El sistema estaba activo y respondía rápidamente.
  • Había dos puertos abiertos:
  • Puerto 22/TCP (SSH): OpenSSH 9.2p1 (Debian).
  • Puerto 80/TCP (HTTP): Apache httpd 2.4.62 (Debian) con Bludit CMS instalado.

1.2. Identificación de Bludit

Al acceder a la página web (http://192.168.18.57), se confirmó que el servicio HTTP está ejecutando Bludit CMS en su versión 3.9.2.

2. Ataque de Fuerza Bruta

2.1. Preparación del Script

Para realizar un ataque de fuerza bruta contra el panel de login de Bludit (/admin/login), utilicé un script[https://github.com/CuriosidadesDeHackers/Bludit-3.9.2-Auth-Bypass/tree/main] en Python diseñado por mi para bypassear las medidas de mitigación de fuerza bruta implementadas en Bludit.

Parámetros del Script:

  • URL del panel de login: http://192.168.18.57/admin/login
  • Diccionario de usuarios: user.txt donde añado el jombre Jaulacon2025 expuesto en la web
  • Diccionario de contraseñas: /usr/share/wordlists/rockyou.txt

Funcionamiento:

  1. El script obtiene el token CSRF necesario para autenticarse.
  2. Prueba combinaciones de usuario y contraseña.
  3. Si encuentra una combinación válida, muestra las credenciales.

2.2. Resultados del Ataque

El script encontró las credenciales válidas:

  • Usuario: Jaulacon2025
  • Contraseña: cassandra

3. Explotación de la Vulnerabilidad de Subida de Archivos

3.1. Búsqueda de Exploits en Metasploit

Utilicé Metasploit para buscar exploits disponibles para Bludit. Encontré el exploit bludit_upload_images_exec, que permite subir archivos maliciosos aprovechando una vulnerabilidad de subida de imágenes.

Comandos Utilizados:

search bludit use exploit/linux/http/bludit_upload_images_exec

3.2. Configuración del Exploit

Configuré los parámetros necesarios para el exploit:

  • RHOSTS: 192.168.18.57
  • BLUDITUSER: Jaulacon2025
  • BLUDITPASS: cassandra
  • LHOST: 192.168.18.20 (dirección del atacante)
  • LPORT: 4444 (puerto de escucha)

3.3. Ejecución del Exploit

Al ejecutar el exploit, logré subir un archivo malicioso y obtener una sesión de Meterpreter en el sistema objetivo.

Resultados:

  • Obtuve acceso como el usuario www-data.
  • Verifiqué que Bludit estaba instalado en la versión 3.9.2.

4. Escalada de Privilegios

4.1. Extracción de Credenciales

Accedí al archivo users.php en el directorio /var/www/html/bl-content/databases para extraer las credenciales del usuario JaulaCon2025.

Contenido del Archivo:

Nos llama la atención el salt ‘jejeje’

4.2. La Contraseña

La contraseña hash (551211bcd6ef18e32742a73fcb85430b) fue descifrada utilizando crackstation. La contraseña correspondiente era cassandra.

4.3. Acceso SSH

Con las credenciales obtenidas, accedí al sistema mediante SSH

4.4. Escalada a Root

Verifiqué los permisos de sudo para el usuario JaulaCon2025:

sudo -l

El usuario podía ejecutar el comando /usr/bin/busctl sin contraseña. Este comando puede ser explotado para obtener privilegios de root.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *