Write-ups

Resolución del CTF GAZPACHO

Enumeración

Escaneo de puertos

Realizamos un escaneo de todos los puertos para saber cuáles están activos.

Los parámetros utilizados son:

  • -p- : Escaneo de todos los puertos. (65535)
  • -sS : Realiza un TCP SYN Scan para escanear de manera rápida que puertos están abiertos.
  • -sC : Realiz una escaneo con los scripts basicos de reconocimiento
  • -sV : Realiza un escaneo en buqueda de los servicios
  • –min-rate 5000: Especificamos que el escaneo de puertos no vaya más lento que 5000 paquetes por segundo, el parámetro anterior y este hacen que el escaneo se demore menos.
  • -n: No realiza resolución de DNS, evitamos que el escaneo dure más tiempo del necesario.
  • -Pn: Deshabilitamos el descubrimiento de host mediante ping.

En el puerto 80 vemos un panel de login que si hacemos hovering no apunta a nada, por lo que no hay nada por detras.

En el puerto 8080, vemos un jenkins, si probamos contraseñas por defecto como admin:12345, vemos que podemos entrar.

Intrusión

Como tenemos acceso a la consola de script de jenkins utilizaremos una revshell de «groovy» para obtener acceso a la máquina.

Escalada de privilegios

Estando en escucha con netcat obtenemos acceso a la maquina.

A nivel de sudoers tenemos el binario find el cual podemos ejecutar sin proporcionar contraseña como el usuario «ajo».

Pero antes vemos que tenemos varios usuarios por que vamos a tener una larga escalada.

Una vez siendo el usuario «ajo», vemos que nuevamente a nivel de sudoers podemos ejecutar como el usuario «cebollla» y sin proporcionar contraseña el binario «aws».

Volvemos a mirar en gtfobins.

Nuevamente el usuario «cebolla» puede ejecutar el binario «crash» como el usuario «pimiento» sin proporcionar contraseña.

Y una vez mas el usuario pimiento puede ejecutar como el usuario pepino sin proporcionar contraseña el binario «cat».

Pero esta vez vamos a ver la «id_rsa» del usuario «pepino».

Al estar protegida por contraseña necesitamos sacar el hash para posteriormente romperlo con «john».

le damos permisos de ejecución al id_rsa y entramos.

Y vemos que el usuario pepino puede ejecutar como el usuario tomate el binario mail.

Consultamos GtfoBins

y vemos que el usuario tomate puede ejecutar como» root» el binario «bettercap», el cual muestra de por si en la ayuda cómo ejecutar comandos, y como esta instalado netcat en el sistema nos lanzamos una revshell para obtener acceso.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *