Write-ups

Resolución del CTF SIN PLOMO 98

Escaneo de puertos

Realizamos un escaneo de todos los puertos para saber cuáles están activos.

Los parámetros utilizados son:

  • -p- : Escaneo de todos los puertos. (65535)
  • -sS : Realiza un TCP SYN Scan para escanear de manera rápida que puertos están abiertos.
  • -sC : Realiz una escaneo con los scripts basicos de reconocimiento
  • -sV : Realiza un escaneo en buqueda de los servicios
  • –min-rate 5000: Especificamos que el escaneo de puertos no vaya más lento que 5000 paquetes por segundo, el parámetro anterior y este hacen que el escaneo se demore menos.
  • -n: No realiza resolución de DNS, evitamos que el escaneo dure más tiempo del necesario.
  • -Pn: Deshabilitamos el descubrimiento de host mediante ping.

Nos encontramos ante un aplicativo web en el puerto 80, que tras hacer fuzzing no encontramos nada.

En el aplicativo web de la pagian 5000.

Nos encontramos en el codgio fuente lo que parece ser una ruta.

Tenemos un panel con un input.

En el cual tras numerosas pruebas decido hacer una operación aritmética entre corchetes.

El resultado me confirma que tiene una vulnerabilidad Server Side Template Injection.

Asi que en PayloadAllTheThing nos encontramos con el siguiente payload para obtener acceso mediante una reverse shell.

Lo ejecutamos y agamos acceso

Vemos que nuestro usuario esta dentro del grupo «disk».

El cual investigando me topo con este articulo para la escalada de privilegios. Vemos que discos tenemos y podemos escribir y leer, así que leemos la id_rsa del usuario root

Al estar protegida,, sacamos el hash y lo rompemos con john para sacar el passphrase.

Le damos permisos 600 y somos root.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *