Write-ups

Resolución de la máquina GINTONIC

💢Plataforma: TheHackersLabs💢

❌Nombre: Gin tonic
📈Nivel: PROFESIONAL
💻OS: LINUX
🙋🏽‍♂️Creador: @condor7777 & CuriosidadesDeHackers

Enumeración

Escaneo de puertos

Realizamos un escaneo de todos los puertos para saber cuáles están activos.

Los parámetros utilizados son:

  • -p- : Escaneo de todos los puertos. (65535)
  • -sS : Realiza un TCP SYN Scan para escanear de manera rápida que puertos están abiertos.
  • -sC : Realiz una escaneo con los scripts basicos de reconocimiento
  • -sV : Realiza un escaneo en buqueda de los servicios
  • –min-rate 5000: Especificamos que el escaneo de puertos no vaya más lento que 5000 paquetes por segundo, el parámetro anterior y este hacen que el escaneo se demore menos.
  • -n: No realiza resolución de DNS, evitamos que el escaneo dure más tiempo del necesario.
  • -Pn: Deshabilitamos el descubrimiento de host mediante ping.

Nos encontramos ante una advertencia de que solo tenemos 2 horas para hackear la maquina o se autodestruira

Así que vamos a fuzzear por subdominio.

Nos encontramos ante un panel de registro.

Y tras probar varias cosas vemos que podemos leer archivos internos de la maquina mediante un XXE, nos creamos la siguiente estructura. Aquí encontraremos mas payloads

<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE root [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]> <root> <name>&xxe;</name> </root>

Y vemos el archivo /etc/passwd..

Como ya tenemos usuarios vamos a hacer fuerza bruta por ssh y nos da un usuario.

Vemos que tenemos un binario con permisos SUID.

Si leemos el binario vemos que depende de la librería welcome.so.

Nos vamos al archivo en el cual crea librerías compartidas.

y vemos que una de ellas esta en /home/fermin/lib, este direcotrio no existe, crearemos un archivo llamado test.c , el cual va a dar permisos UID a la bash.

Y compilaremos el binario en libwelcome.so, esto permitirá que cuando ejecutemos el binario welcome se nos ejecute una bash como root debido a que el binario tiene el bit SUID, y la librería se carga con privilegios de root, el código en libwelcome.so se ejecuta con los mismos privilegios.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *