Bolt - TryHackMe
Debemos encontrar una bandera en la maquina Bolt. Donde a partir del escaneo de puertos de Nmap pude saber que hay un servidor web Apache y un servidor web local que ha sido levantado utilizando el intérprete PHP. Además, a partir de una respuesta HTTP del servidor web PHP, pude saber que hay un sitio web que ha sido creado por el CMS Bolt. Luego, analizando las paginas web del sitio web pude encontrar unas credenciales del admin. Luego, accediendo al recurso bolt, que tenía un login, pude acceder al portal de administración del CMS utilizando las credenciales. Luego, inserte un payload, que me genero una reverse shell, en el código fuente de un archivo del theme que estaba utilizando el sitio web, llegando a obtener acceso al sistema destino siendo el usuario root.
Debemos encontrar tres banderas en la maquina Brute It. Donde a partir del escaneo de puertos de Nmap pude saber que hay un servicio HTTP y SSH. Luego, realice fuerza bruta de directorios sobre el directorio raíz del servidor web encontrando una página web que tenía un login. Luego, analicé su código fuente, y encontré un username valido, y el nombre de un usuario local. Luego, realice cracking de contraseñas online contra el login, llegando a encontrar unas credenciales validas. Luego, en el portal de administración del sitio web en desarrollo me encontré con un enlace que me redirigió a una clave privada SSH encriptada. Luego, utilice John The Ripper para crackear su clave, llegando a acceder al sistema destino mediante SSH. Luego, en escalada privilegios vertical utilice el comando cat, que lo podía ejecutar con los privilegios del usuario root, obteniendo el hash de root en /etc/shadow, y crackearlo con Hashcat, obteniendo el password de root.
Debemos encontrar dos banderas en la maquina Wgel. Donde a partir del escaneo de puertos de Nmap pude saber que hay un servicio HTTP y SSH. Además, a partir de un script de Nmap pude saber que había una página web de inicio que viene por defecto en la instalación del servidor Apache. Luego, analizando el código fuente de la página web nos encontramos con el username del desarrollador web. Luego, realice fuerza bruta de directorios con Wfuzz sobre el directorio raíz del servidor web encontrando un directorio de un sitio web en desarrollo. Luego realice fuerza bruta de directorios sobre el directorio del sitio web, encontrando una clave privada SSH, que le corresponde al desarrollador web. Luego, para la escalada de privilegios vertical utilice el comando wget, que lo podía ejecutar con los privilegios del usuario root, con el fin de modificar la línea del usuario root en el archivo /etc/shadow del sistema destino.
Debemos encontrar dos banderas en la maquina Ignite VM. Donde a partir del escaneo de puertos de Nmap pude saber que hay un servicio HTTP. Además, a partir de un script de Nmap pude saber que había una página web de inicio que viene por defecto en la instalación del CMS Fuel. Luego, pude conocer la versión del CMS Fuel, y pude encontrar en las bases de datos de vulnerabilidades Exploit-DB y NIST, la vulnerabilidad Command Injection o RCE asociada a la versión del CMS Fuel. Luego, analice el código de un exploit y recree la explotación manual, modificando el payload del exploit. Luego, para la escalada privilegios vertical, realice una enumeración manual sobre los archivos del directorio raíz del CMS Fuel, llegando a encontrar unas credenciales validas del superusuario root.
Debemos encontrar dos banderas en la maquina BoilCTF. Donde a partir del escaneo de puertos de Nmap pude saber que hay un servicio HTTP, FTP, SSH, y Webmin. Luego, realice fuerza bruta de directorios sobre el directorio raíz del CMS Joomla, llegando a encontrar el CMS Joomla en su versión, 3.9.12.Luego, realice fuerza bruta de directorios sobre el directorio raíz del CMS, llegando a encontrar la herramienta sar2html, que proporciona una interfaz web para presentar los resultados del comando sar. Además, esta herramienta presentaba la vulnerabilidad Command Injection, que nos permitió observar el contenido de un registro, llegando a obtener las credenciales SSH de un usuario. Luego, para la escalada privilegios horizontal, utilice unas credenciales encontradas en un script, Luego, para la escalada vertical, utilice un archivo binario ejecutable find con el permiso SUID.
Debemos encontrar dos banderas en la maquina Source. Donde a partir del escaneo de puertos de Nmap pude saber que hay un servicio Webmin, en su versión 1.890, y levantado en el puerto 10000. Luego, accedí a la interfaz web del servicio Webmin a través de mi navegador web. Luego, busque en la base de datos de vulnerabilidad en línea Rapid7, vulnerabilidades asociadas con el servicio Webmin en su versión 1.890. Donde pude encontrar una vulnerabilidad RCE (CVE-2019-15107) asociada a esa versión. Luego, encontré un exploit en un repositorio de Github(https://github.com/n0obit4/Webmin_1.890-POC ), que utilice para explotar la vulnerabilidad, llegando a ejecutar un comando que me permitió cargar un script en Bash en el sistema destino con los privilegios del usuario root. Luego, ejecute otro comando para asignarle el permiso de ejecución al usuario root en el script, llegando a ejecutarlo y generar una reverse Shell con los privilegios del superusuario root.
Debemos encontrar tres banderas en la maquina Labyrinth Fast. Donde a partir del escaneo de puertos de Nmap pude saber que hay un servicio HTTP, SSH. FTP, Además, con scripts de Nmap supe que había una página web, que contenía un login, y el servidor FTP admitía conexiones anónimas. Luego, pude acceder a los recursos compartido del servidor FTP. Donde encontré unas pistas para realizar fuerza bruta de directorios con Wfuzz, llegando a encontrar un registro que contenía unas credenciales, que me permitió autenticarme en el login accediendo al portal de administración de una aplicación web vulnerable a SQLi. Luego, obtuve los registros de su base de datos, y obtuve las credenciales del admin de la aplicación web, y logré autenticarme en la aplicación web, encontrando una sección nueva de la aplicación web que era vulnerable a Command Injection, logrando acceder al sistema. Luego, la escala privilegios vertical lo realiza a partir de un script, ejecutada por el usuario root.
Debemos encontrar 1 bandera en la maquina Ultratech-latest. Donde a partir del escaneo de puertos de Nmap pude saber que hay un servicio HTTP, SSH, FTP, y una API. Además, con un script de Nmap supe que había una página web, que pertenecía a una aplicación web. Luego, analizando el código fuente de la aplicación web me encontré con la ruta de un directorio, que contenía 3 archivos JavaScript. Donde uno de ellos era utilizado para la creación de una API. Además, la API estaba levantado en uno de los puertos, y ofrecía la funcionalidad de ejecutar el comando ping en el sistema operativo del sistema destino a través de un parámetro GET que era vulnerable a Command Injection.Luego, en la escalada privilegio horizontal me encontré con un database SQLite. Donde encontré el hash de r00t, y logré crackearlo con John the Ripper. Luego, para la escalada vertical, la primera manera es aprovechando que el usuario r00t pertenece al grupo Docker, y la segunda manera es explotando la vulnerabilidad Sudo Baron Samedit.
Debemos encontrar dos banderas en la maquina Opacity2. Donde a partir del escaneo de puertos de Nmap pude saber que hay un servicio HTTP, SSH. Samba. Además, con un script de Nmap que había una página web, que constaba con un login, en el servidor web. Luego, realice fuerza bruta de directorios con Wfuzz para encontrar recursos escondidos en el directorio raíz del servidor web. Luego, me encontré con una aplicación web vulnerable a File Upload y que constaba de un analizador de extensiones, permitiéndome subir un archivo PHP que me genero una reverse shell. Luego, en la escalada de privilegios horizontal me encontré con un archivo cifrado del programa KeePass, logrando crackear su clave mediante John the Ripper, y obteniendo las credenciales del usuario sysadmin. Luego, para la escalada de privilegios vertical descubrí un script PHP era ejecutado por root de manera periódica, mediante el script pspy, y modificando uno de los archivos PHP incluidos en el script PHP, para generar una reverse Shell.
Debemos encontrar dos banderas en la maquina Inferno. Donde a partir del escaneo de puertos de Nmap pude saber que hay un servicio HTTP,SSH, y muchos puertos abiertos, que no podía determinar si había un servicio ejecutándose en ellos. Luego, utilice Wfuzz para encontrar recursos escondidos en el directorio raíz del servidor web, llegando a encontrar recurso escondido con código HTTP 401. Por lo tanto, debía proveer unas credenciales para acceder a él. Luego, utilice Hydra para encontrar unas credenciales validas. Luego, accedí al portal de administración de Codiad, que presentaba la vulnerabilidad File Upload, permitiendome cargar un archivo PHP que genero reverse Shell. Luego, para la escalada privilegios horizontal utilice unas credenciales encontradas en un archivo oculto del directorio home del usuario dante Luego, en la vertical aproveche que podía ejecutar el archivo binario tee con los privilegios de root, permitiéndome registrar un nuevo usuario en el sistema destino, con los privilegios de root.