Write-ups

Resolución del CTF PUCHERO


Escaneo de puertos

Realizamos un escaneo de todos los puertos para saber cuáles están activos.

Los parámetros utilizados son:

  • -p- : Escaneo de todos los puertos. (65535)
  • -sS : Realiza un TCP SYN Scan para escanear de manera rápida que puertos están abiertos.
  • -sC : Realiz una escaneo con los scripts básicos de reconocimiento
  • -sV : Realiza un escaneo en búsqueda de los servicios
  • –min-rate 5000: Especificamos que el escaneo de puertos no vaya más lento que 5000 paquetes por segundo, el parámetro anterior y este hacen que el escaneo se demore menos.
  • -n: No realiza resolución de DNS, evitamos que el escaneo dure más tiempo del necesario.
  • -Pn: Deshabilitamos el descubrimiento de host mediante ping.

Nos encontramos frente a un panel de apache por defecto.

Pero tenemos un aplicativo web con un panel de login el el puerto 3333. Probando con contraseñas por defecto admin:admin podemos acceder.

Una vez dentro probamos a ejecutar cualquier texto y nos indica que no somos admin.

Si capturamos la petición nos damos cuenta de que podemos hacer un ataque de Prototype Pollution.

Eliminamos la cookie y establecemos el Content-Type en formato json, además de añadirle la propiedad de isAdmin en true.

Una vez ejecutado vemos que ya podemos descargar archivos.

Siguiente la estructura en json vamos a enviar una revshell en busybox y nos ponemos en escucha.

Como vemos recibimos la conexión.

Con pspy64 vemos que hay una tarea cron que ejecuta el archivo grasioso.sh que se ejecuta cada minuto.

En el cual podemos escribir, así que añadimos una revshell.

Y al cabo de 1 min recibimos la conexión convirtiéndonos en root.


Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *