Olympus - TryHackMe
Debemos encontrar 4 banderas en OlympusRoom. Donde a partir del escaneo de puertos de Nmap pude saber que hay un servicio HTTP y SSH. Además, con un script de Nmap supe que había un nombre de dominio de un sitio web en desarrollo. Luego, realice fuerza bruta de directorios para encontrar recursos escondidos en el directorio raíz del sitio web. Luego, me encontré con la vulnerabilidad SQLi en el sitio web. Llegando a volcar todos los registros de las bases de datos Olympus, y encontrando los hashes de tres usuarios, llegando a crackear uno de ellos con John the Ripper. Además, me percate de un subdominio asociado a los emails de dos de los usuarios, llegando a encontrar una aplicación web que era vulnerable a File Upload. Luego, para la escalada privilegios horizontal utilice un archivo binario SUID del usuario Zeus, llegando a obtener la clave privada SSH, pero estaba cifrada. Por lo tanto, utilice John the Ripper. Luego, para la escalada vertical utilice un script PHP, que resulto ser un backdoor.
Debemos encontrar cinco banderas en la maquina SQHell. Donde a partir del escaneo de puertos de Nmap pude saber que hay un servicio HTTP y SSH.Además, con un script de Nmap supe que había una aplicación web. Luego, me encontré con la vulnerabilidad SQLi In-band basada en errores en la página web. Donde se podía obtener información sobre el contenido de cada post, obteniendo la primera bandera. Luego, me encontré la vulnerabilidad SQLi Blind en un formulario HTTP, que me permitió omitir la autenticación y obtener la segunda bandera. Luego, me encontré con la vulnerabilidad SQLi Blind donde se podía obtener información sobre los usuarios. Luego, me encontré con un registro que utilizaba una solicitud GET JSON que era vulnerable a SQLi Blind basada en booleanos. Luego, a partir del uso del encabezado HTTP X-Forwarded-For y sqlmap, llegue a saber que se podía realizar una SQLi Blind Basada en el tiempo, y llegue a volcar todos los registros de las bases de datos, obteniendo la quinta bandera.
Debemos encontrar una bandera en la maquina WWBuddy. Donde a partir del escaneo de puertos de Nmap pude saber que hay un servicio HTTP y SSH.Además, con un script de Nmap supe que hay una aplicación web. Luego, esta aplicación web tenia con la función Change password vulnerable a SQLi, que me permitió cambiar las contraseñas de los administradores. Luego, realice una fuerza bruta de directorios con gobuster, llegando a encontrar un recurso que me permitió explotar la vulnerabilidad Command Injection para obtener acceso al sistema destino. Luego, mediante linpeas puede saber que el sistema destino presentaba la vulnerabilidad Baron Samedit, llegando a explotarla y ser root. Además, encontré unas credenciales almacenadas en los registros, llegando a ser el usuario Roberto. Luego, realice un cracking de contraseñas online contra el servicio SSH llegando a obtener las credenciales del usuario Jenny. Luego, realice una manipulación de la variable de entorno USER, encontrando otra manera de ser root.
Debemos encontrar cuatro banderas en la maquina HackBack-WE-TASK4. Donde a partir del escaneo de puertos de Nmap pude saber que hay un servicio HTTP y SSH. Además, con un script de Nmap supe que hay un sitio web almacenado en el servidor web. Luego, me encontré con la vulnerabilidad Blind SQli en uno de los parámetros GET, que utilizaba el sitio web para realizar sus consultas SQL hacia su base de datos. Además, me encontré que el desarrollador del sitio web había implementado una lista negra para limitar los valores que pueden ingresar los usuarios al parámetro GET. Luego, realice una enumeración manual y automatizada con sqlmap sobre las bases de datos que consultaba el sitio web, llegando a encontrar unas credenciales de un usuario local en el sistema objetivo. Luego, accedí al sistema destino utilizando el servicio SSH y las credenciales obtenidas anteriormente. Luego, aprovechando que podía ejecutar el archivo binario scp con los privilegios de root es que realice una escalada de privilegios vertical.
Debemos encontrar dos banderas en la maquina Poster. Donde a partir del escaneo de puertos de Nmap pude saber que hay un servicio HTTP, SSH. Además, con un script de Nmap supe que hay un sitio web almacenado en el servidor web. Luego, realice una fuerza bruta de directorios con gobuster, llegando a encontrar dos formularios HTML para los administradores y clientes del sitio web. Luego, me encontré con la vulnerabilidad Blind SQli al momento de observar los productos que mostraba el sitio web. Luego, realice una enumeración manual y automatizada con sqlmap sobre las bases de datos que consultaba el sitio web, llegando a encontrar unas credenciales de un usuario local del sistema objetivo. Luego, accedí al sistema destino utilizando el servicio SSH. Luego, realice una escalada de privilegios modificando el contenido del archivo de configuración del servicio duckyinc por una reverse Shell con el fin de reiniciar el servicio. Por último, realice un ataque Defacement sobre la pagina de inicio del sitio web.
Debemos encontrar dos banderas en Lunizz CTF. Donde a partir del escaneo de puertos de Nmap pude saber que hay un servicio HTTP, MySQL. Luego, realice una fuerza bruta de directorios con gobuster, llegando a encontrar tres recursos escondidos. Donde uno de ellos contenía unas credenciales para acceder al servidor MySQL. Luego, modificando la columna de una tabla de una base de datos, pude ejecutar comandos, que me genero una reverse Shell, a través de otro recurso escondido. Luego, utilice linpeas para encontrar vectores de escalada de privilegios, llegando a encontrar un hash bcrypt, que contenía la contraseña del usuario Adam. Luego, realice un script en Python para optimizar el crackeo del hash bcrypt. Luego, siendo el usuario adam, realice una enumeración manual sobre sus directorios, llegando a encontrar la contraseña del usuario mason en un enlace de Google Maps. Luego, realice una enumeración de todos los procesos, encontrando un tipo de backdoor. Donde llegue a cambiar la contraseña del usuario root.
Debemos encontrar dos banderas en la maquina Poster. Donde a partir del escaneo de puertos de Nmap pude saber que hay un servicio HTTP, SSH, PostgreSQL.Luego, utilice la herramienta Hydra con el fin de realizar un ataque de fuerza bruta sobre la autenticación del servidor PostgreSQL. Donde llegue a obtener unas credenciales, que les pertenecia al superusuario postgres, para acceder al servidor PostgreSQL. Luego, accedí al servidor PostgreSQL con el fin de saber la versión del DBMS. Luego, sabiendo que la versión del DBMS es mayor a 9.3 y que tengo las credenciales del superusuario postgres, utilice la funcion COPY TO/FROM PROGRAM para ejecutar un comando en el sistema destino con el fin de generar una reverse Shell. Luego, para la escalada de privilegios horizontal utilice unas credenciales del usuario local alison en un archivo de configuración del sitio web. Luego, para la escala de privilegios vertical mediante el archivo binario bash, que podía ejecutarlo con los privilegios del usuario root.
Debemos encontrar dos banderas en la maquina Daily Bugle. Donde a partir del escaneo de puertos de Nmap pude saber que hay un servicio HTTP, SSH, MariaDB. Además, con un script de Nmap supe que hay un sitio web, y que ha sido creado y esta siendo gestionado por el CMS Joomla. Además, a través del recurso joomla.xml pude saber la versión del CMS. Luego, buscando en Internet llegue a saber que esa versión del CMS es vulnerable a SQLi, explotandolo con sqlmap o con un script Python, encontrado en un repositorio GitHub, con el fin de enumerar información sobre las bases de datos. Llegando, a encontrar unas credenciales válidas para la autenticación en un formulario que me permitió acceder al portal de administración del CMS. Donde, explote la vulnerabilidad Template Injection para ganar acceso al sistema destino. Luego, realice un escalda de privilegios horizontal mediante unas credenciales en un archivo de configuración. Luego, realice un escalada de privilegios vertical mediante el archivo binario yum
Debemos encontrar dos banderas en la maquina Game Zone. Donde a partir del escaneo de puertos de Nmap pude saber que hay un servicio HTTP y SSH. Además, con un script de Nmap supe que hay una página web almacenada en el servidor web. Además, esta página web viene a formar parte de un sitio web, que es vulnerable a SQLi Blind y SQLi basada en errores que me permitió omitir la autenticación de un formulario y volcar los registros de una columna de una base de datos. Llegando a encontrar unas credenciales en forma de hash que logre crackear usando John the Ripper, y utilizándolo para acceder al sistema destino mediante el servicio SSH. Luego, implemente un Tunel SSH para poder acceder al servicio Webmin, que se estaba ejecutando en el sistema destino, a través de mi navegador web. Luego, aprovechando la vulnerabilidad RCE que presentaba el servicio Webmin en su versión 1.580, realice una escalada de privilegios vertical mediante una reverse Shell con los privilegios del usuario root.
Debemos encontrar 2 banderas en la maquina The Marketplace. Donde a partir del escaneo de puertos de Nmap pude saber que hay un servicio HTTP y Node.js, que actúa como un servidor web. Además, con un script de Nmap supe que hay una página web almacenada en el servidor web. Además, esta página web viene a formar parte de una aplicación web, que es vulnerable a SQLi basada en errores y XSS. Luego, explotando ambas vulnerabilidades llege a encontrar unas credenciales, que me permitió acceder al sistema destino siendo el usuario local jake. Luego, realice una escalada de privilegios horizontal aprovechando que podía ejecutar un script con los privilegios del usuario Michael. Además, el script utilizaba el comando tar y un comodin o wilcard. Donde aproveche el uso del comodín en el comando tar para generar una Shell con los privilegios del usuario michael. Luego, realice una escalada vertical para ser el usuario root aprovechando que el usuario michael pertenece al grupo secundario Docker.