Resolución del CTF – THLPWN

Enumeración

Escaneo de puertos

Realizamos un escaneo de todos los puertos para identificar los servicios activos en el sistema objetivo.

nmap -p- --open -sCV -Pn -n --min-rate 5000 192.168.0.100

nmap -p- --open -sCV -Pn -n --min-rate 5000 192.168.0.100

• -p- : Escaneo de todos los puertos. (65535)
• -sS : Realiza un TCP SYN Scan para escanear rápidamente qué puertos están abiertos.
• -sC : Escaneo con scripts básicos de reconocimiento.
• -sV : Detección de servicios.
• –min-rate 5000 : Escaneo no inferior a 5000 paquetes/segundo.
• -n : Sin resolución DNS.
• -Pn : Sin descubrimiento por ping.

Identificamos los servicios SSH (22/tcp) y HTTP (80/tcp).

Enumeración web

El servicio HTTP responde con un código 403 indicando el uso de Virtual Hosting. Configuramos el nombre de host esperado.

echo "192.168.0.100 thlpwn.thl" | sudo tee -a /etc/hosts

echo "192.168.0.100 thlpwn.thl" | sudo tee -a /etc/hosts

Accedemos al sitio virtual y localizamos una sección de descargas que expone un binario.

wget http://thlpwn.thl/downloads/auth_checker

wget http://thlpwn.thl/downloads/auth_checker

Análisis del binario

Extraemos cadenas legibles del binario para identificar información sensible.

strings auth_checker

strings auth_checker

Obtenemos credenciales SSH válidas para el usuario thluser.

Acceso inicial

Accedemos al sistema mediante SSH con las credenciales obtenidas.

ssh thluser@192.168.0.100

ssh [email protected]

Escalada de privilegios

Enumeramos permisos sudo y verificamos la posibilidad de ejecutar /bin/bash como root sin contraseña.

sudo -l

sudo -l

Ejecutamos una shell privilegiada.

sudo /bin/bash

sudo /bin/bash

Obtenemos acceso root y completamos la máquina.