Twisted

Fase de reconocimiento

Nmap

Comenzamos con un escaneo de nmap como de costumbre y encontramos los siguientes puertos abiertos:

• 80 HTTP

• 2222 SSH

nmap -p- -sSVC --min-rate 10000 -Pn 192.168.8.112

En la página web encontramos dos imágenes de gatos, y me llama la atención el ultimo gato ya que dice que parece diferente, quizás tiene algo escondido en su interior que podríamos extraer con herramientas de escenografía:

Fase de intrusión

Gobuster ❌

Hago fuzzing con gobuster para encontrar posibles directorios o archivos pero no encuentro nada relevante:

Vamos al tajo! Probablemente las imágenes como bien he dicho previamentes contengan algo en su interior, así que voy a descargar ambos para analizarlos:

Exiftool ❌

Exiftool sirve para revisar los metadatos pero no encontramos nada, útil en cambio...

Stegseek

Con stegseek encontramos en ambas imágenes información bastante relevante:

El output de las imágenes es el siguiente:

Escalada de privilegios

SSH

Con los credenciales obtenidos del cat-hidden podemos iniciar sesión por el puerto SSH (2222) como mateo, no podemos ver nada muy relevante así que iniciamos sesión como markus usando los credenciales obtenidos del cat-original:

En el directorio /home de markus podemos encontrar una nota bastante relevante, la cual nos indica la existencia de una key para bonita, esto es relevante ya que el usuario bonita tiene cosas interesantes en su directorio de /home

Linpeas

Pero hay un inconveniente, no podemos abrir el dicho archivo ya que solo root lo puede hacer, esto me lleva a la importación de linpeas para encontrar información más relevante, y lo que más me llama la atención son las capabilities:

Lo que me interesa de aquí son las capabilities de tail, ya que si pudiera emplearlo para leer archivos, conseguiría obtener la id_rsa de bonita:

De esta manera conseguimos leer la id_rsa de bonita:

Nos copiamos la key a nuestra máquina atacante y le damos permisos, y accedemos a el ssh de bonita:

Decompilación del binario

Dentro del directorio de bonita encontramos algo que me lleva llamando la atención desde que entre como mateo y es el beroot, el cual es un binario, nunca he tratado con decompilación de binarios, así que investigando un poco descubro que se puede decompilar su interior con algunas aplicaciones para ver más o menos lo que hace (Web):

Parece ser que si el valor introducido NO ES IGUAL A 0x16f8 es incorrecto

5880 es 0x16f8 en Hex:

Corremos el binario con el decimal proporcionado y obtenemos root!

Conclusión

En esta máquina, logramos la intrusión y escalada de privilegios aprovechando varias debilidades:

• Con herramientas de escenografía como stegseek encontramos credenciales validos para el SSH

• Nos aprovechamos de las capabilities de tail

• Descompilamos un binario para descubrir su interior con Dogbolt

En lo personal me ha parecido una máquina bastante entretenida donde he aprendido cosas nuevas, 100% recomendada para novatos como yo en el hacking web!