Write-ups

Resolución del CTF OFFENSIVE

💢NUEVO CTF DISPONIBLE EN TheHackersLabs💢

❌Nombre: Offensive
📈Nivel: Profesional
💻OS: Linux
💢Caregoría: Seguridad Ofensiva
🙋🏽‍♂️Creador: r0dgar
https://thehackerslabs.com/offensive/

Enumeración

Escaneo de puertos

Realizamos un escaneo de todos los puertos para saber cuáles están activos.

Los parámetros utilizados son:

  • -p- : Escaneo de todos los puertos. (65535)
  • -sS : Realiza un TCP SYN Scan para escanear de manera rápida que puertos están abiertos.
  • -sC : Realiz una escaneo con los scripts basicos de reconocimiento
  • -sV : Realiza un escaneo en buqueda de los servicios
  • –min-rate 5000: Especificamos que el escaneo de puertos no vaya más lento que 5000 paquetes por segundo, el parámetro anterior y este hacen que el escaneo se demore menos.
  • -n: No realiza resolución de DNS, evitamos que el escaneo dure más tiempo del necesario.
  • -Pn: Deshabilitamos el descubrimiento de host mediante ping.

Vamos a fuzzear para ver que nos encontramos.

Y sabemos nos llama la atención el directorio images, en el cual tenemos una imagen.

Vamos a descargarla y vamos a extraer si hay contenido oculto, pero primero tenemos que hacer fuerza bruta para obtener el salvoconducto.

Ahora si podemos extraer sus datos ocultos, nos saca un txt con una especie de contraseña del panel de administración del WordPress.

Enumeraremos los usuario que hay.

Y tenemos al usuario Adminisitrator.

Antes de nada fuzzearemos en el puerto 8080 y tenemos el archivo help.

Este archivo es un panel de ayuda para gestionar los demás archivos que hay dentro del pathc WordPress.

Listraremos los plugins que hay instalados.

Y eliminaremos el plugin que nos impide acceder al wp-admin.

Una vez eliminamos ya podemos acceder a el.

Y vemos que tenemos una terminal con wpterm.

Por lo que nos enviaremos una revshell para tener mejor acceso.

Una vez dentro vemos que hay un servicio corriendo de forma interna por el puerto 5000.

Así que con chisel nos lo traeremos a nuestro host de forma local ya que sino lo hacemos no tendremos acceso desde nuestra maquina atacante

Vemos que hay un panel de sesión con las credenciales puestas pero sin el pin, el cual contiene 4 dígitos.

nos crearemos un diccionario del 0000 al 9999 que contenga esas posibilidades de números.

Capturamos la petición de acceso con burpsuite y lo mandaremos al intruder, marcamos el ejemplo de 1234, y haremos un ataque simple cargando el diccionario que creamos anteriormente. Indicamos el ataque y esperamos.

Esperamos a tener una longitud de respuesta diferente a la «3912».

Una vez que hemos conseguido acceder vemos un panel para ejecutar comandos.

Por lo que lo único que tendríamos que hacer es ejecutarnos una revshell para obtener acceso desde nuestra terminal.

Conseguimos el acceso y somos maria.

Uno de los archivos nos llama la atención «app» que hace un cat del /etc/shadow donde solo muestra las primeras letras.

si hacemos un strings para ver las cadenas imprimibles lo comprobamos.

Así que lo cambiaremos en el path en este caso movemos el directorio actual a maria donde indicar el proceso, exportamos el path para que no empiece por /usr/ e inicie por /home/.

Ahora lo único que nos haría falta seria es crear los permisos de suid dentro de un head dándole permisos de ejecución, consiguiendo así que cuando se ejecute «app» use nuestro head que da permisos a la bash y haciéndonos con root.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *