Write-ups

Resolución del CTF EMERREMEUVEDOBLE

Escaneo de puertos

Realizamos un escaneo de todos los puertos para saber cuáles están activos.

Los parámetros utilizados son:

  • -p- : Escaneo de todos los puertos. (65535)
  • -sS : Realiza un TCP SYN Scan para escanear de manera rápida que puertos están abiertos.
  • -sC : Realiz una escaneo con los scripts basicos de reconocimiento
  • -sV : Realiza un escaneo en buqueda de los servicios
  • –min-rate 5000: Especificamos que el escaneo de puertos no vaya más lento que 5000 paquetes por segundo, el parámetro anterior y este hacen que el escaneo se demore menos.
  • -n: No realiza resolución de DNS, evitamos que el escaneo dure más tiempo del necesario.
  • -Pn: Deshabilitamos el descubrimiento de host mediante ping.

El el puerto 80 nos encontramos un pache por defecto.

Así que vamos a a fuzzear, dándonos continuamente error 403.

Si ponemos un user agent si nos da resultado.

Y nos encontramos un aplicativo web para realizar envíos.

Si lo capturamos con burpsuite vemos que la estructura se envia en xml,  cuando vemos esto podemos intuir una vulnerabilidad de Inyección XML External Entity (XXE).

    Para comenzar, vamos a declarar una entidad interna con DTD, para declararla vamos a usar el siguiente código que apunte al /etc/passwd. Para usar la entidad solo necesita ejecutar el nombre de la entidad con «&» y «;» y Vemos que hay un user llamado pepita.

De la misma manera al /etc/hosts. Encontramos ftp.emerreuvedoble.thl.

Aquí vemos que nos falla.

Así que usaremos wrappers de php que encode en base64.

Nos da una gran pista.

Así que al obtener esa pista y ver el ftp.emerreuvedoble.thl apuntamos a ella.

Lo decodeamos y rompemos el cifrado de la DDBB para saber la contraseña maestra de KeePass.

Con KeePass CLI navegamos por la DDBB desde la terminal y encontramos un usuario y una contraseña, usuario la cual enumeramos anteriormente.

Así que entramos por ssh pero por el puerto 22222 el cual nos da acceso.

Navegando entre directorios nos encontramos una id_rsa.

Y accedemos con ella al usuario pepita.

Nos traemos pspy64 y vemos que hay una tarea cron la cual nos llama la atención.

Vemos que recorre el directorio tmp y con exiftol busca ficheros que tengan el tag Creator=juanita para borrarlos..

Creamos una shell en bash en el home, le damos permisos de ejecución y generamos un archivo vacío en el dicretorio /tmp, nos ponemos en escucha con netcat;

Y obtenemos la conexión como root.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *