Arroutada
Arroutada es una máquina vulnerable de HackMyVM de dificultad facil hecha por Rijaba1
Last updated
Arroutada es una máquina vulnerable de HackMyVM de dificultad facil hecha por Rijaba1
Last updated
Un escaneo de nmap muestra que tan solo el puerto 80 (HTTP) se encuentra abierto:
En el puerto 80 se encuentra una imagen, nos la descargamos y con exiftool tool podemos ver que en el titulo de la imagen esta incrustado un path, "/scout"
En el path que nos han dado como pista, vemos que nos esta sugiriendo que hagamos fuzzing para completar el path que nos dan:
Se encuentra el directorio rápidamente:
Es un directorio con muchos ficheros con este formato: "z1-999", solo hay uno con contenido en su interior, y nos dice que dejemos de buscar en ellos. Tambien aun un archivo con unas credenciales y un archivo libreoffice, lo intento abrir pero tiene contraseña.
Vamos a usar libreoffice2john para extraer el hash del archivo, y con johntheripper dar con la contraseña valida del archivo. Y podemos encontrar dentro del archivo "/thejabsshell.php":
Fuzzing a un parametro con wfuzz
El archivo quizas podría hacer algo interesante como ejecutar comandos, así que otra vez usamos wfuzz pero esta vez para hacer fuzzing a los parámetros. Podemos ver que el parámetro encontrado es "a", si probamos a ejecutar código con el nos pide otro parámetro más, el "b", así que voy a hacer fuzzing al parametro "b", ya que sino se guie dando el mismo mensaje de error:
Logramos dar con el parámetro que faltaba, ya podremos ejecutar comandos introduciendo el comando deseado en el parámetro "a" y con el "b" otorgándole la contraseña obtenida. Url encodeamos la reverseshell y la obtenemos con éxito, lo primero que hacemos con la shell obtenida es la Depuración de tty
He investigado un poco por el sistema pero no encuentra nada muy relevante, solo hay un usurio y su nombre es "drito". Si hacemos un "ss -ntul" podemos que en la maquina victima hay un puerto abierto, así que vamos a usar chisel para poder crear un puente entre la maquina victima y la del atacante. Aquí os dejo un pequeño esquema para que os hagáis una idea (Recordar hacer un chmod +x chisel para que pueda funcionar correctamente):
En la pagina web encontramos un mensaje cifrado en brainfuck, si lo decodificamos nos da "all HackMyVM hackers!!", no tiene pinta de ser util... En cambio en el código fuente de la pagina web podremos encontrar una pista, nos dan un nombre de un archivo .php, "/priv.php":
En el código fuente del directorio encontrado, podemos ver como funciona el .php, al parecer si le damos un parametro "command".
Lo vamos a hacer con un petición post con curl y como siempre lo primero es la Depuración de tty:
Ahora somo el usuario "druita", y podemos escalar facilmente a root debido a un permiso suid, esto significa que podemos ejecutar el archivo como queramos, entonces lo hacemos como root para obtener una shell como root:
¿Ya estaría no? Tenemos la flag de root y de user... Pues no, la de root no es la correcta y se debe a que esta codificada en base64, la decodificamos y aun así es la incorrecta:
Ahora lo pasamos decodificamos de rot13 y encontramos la flag real:
Me ha gustado bastante está maquina de Rijaba, se han tocado muchos aspectos que a los principiantes les viene muy bien aprender. 100% Recomendada si estas empezando en el pentesting :)
