Write-ups

Resolución del CTF SARXIXAS

Enumeración

Escaneo de puertos

Realizamos un escaneo de todos los puertos para saber cuáles están activos.

Los parámetros utilizados son:

  • -p- : Escaneo de todos los puertos. (65535)
  • -sS : Realiza un TCP SYN Scan para escanear de manera rápida que puertos están abiertos.
  • -sC : Realiz una escaneo con los scripts basicos de reconocimiento
  • -sV : Realiza un escaneo en buqueda de los servicios
  • –min-rate 5000: Especificamos que el escaneo de puertos no vaya más lento que 5000 paquetes por segundo, el parámetro anterior y este hacen que el escaneo se demore menos.
  • -n: No realiza resolución de DNS, evitamos que el escaneo dure más tiempo del necesario.
  • -Pn: Deshabilitamos el descubrimiento de host mediante ping.

Nos encontramos ante una web de «pluck» en la cual podemos acceder al panel de login, pero no tenemos contraseña.

Nos pide una contraseña la cual no tenemos pero vemos la versión.

Fuzzeando un poco por directorios y subdominios nos encontramos en un subdominio el cual contiene un zip.

Vemos que tiene contraseña así que nos lo traemos a nuestra maquina atacante para intentar romper la contraseña.

Con zip2john sacamos el hash y con john rompemos la contraseña para acceder al zip.

Pareciera ser la contraseña del usuario admin del panel de PLUCK

Y como vemos efectivamente accedernos a el.

Encontramos un exploit con el cual nos sube una webshell teniendo contraseña, al ejecutarlo nos indica el directorio en el cual se encuentra.

De la misma manera vamos a ejecutar una revshell para tener control desde nuestra maquina atacante.

Al acceder nos encontramos con un zip.

Pero al estar protegido con contraseña nos lo traemos a nuestra maquina atacante para sacar el hash y romperlo con john.

Tenemos una hash en base58 lo cual al decodearlo nos da un texto.

Teniendo en cuenta que es la contraseña del usuario «sarxixa» y no poder entrar, nos fijamos en el detalle de que el nombre del zip le falta una letra, así que le vamos a quitar una letra al la contraseña.

Y efectivamente ese era el misterio, tenemos que estar muy atentos… Al hacer un reconocimiento vemos que el usuario «sarxixa» pertenece al grupo docker.

El cual al investigar vemos en gtforbins una forma de escalar privilegios creando un contener en el directorio temporal con una bash.

Al ejecutarlo consegimos ser root

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *