DogCat - TryHackMe
Debemos encontrar 4 banderas en la maquina dogcatvm. Donde a partir del escaneo de puertos de Nmap pude saber que hay un servicio HTTP y SSH.Además, con un script de Nmap supe que hay una página web almacenada en el servidor web, que presentaba la vulnerabilidad Path Trasnversal.Luego, utilizando Burp Suite pude observar el contenido de los archivos de registros del servicio web. Luego, modificando el valor del encabezado User-Agent con la extensión User-Agent Switcher and Manager, y aprovechando el uso de la función include pude ejecutar una reverse shell a través del parámetro GET cmd. De esta manera se obtuvo acceso al sistema destino. Luego, para la escalada de privilegios utilice env y sudo. Ademas, utilizando Linpeas, pude deducir que había obtenido acceso al sistema de un contenedor Docker ejecutado en el sistema destino anfitrión. Luego, para salir del contenedor y obtener acceso al sistema destino anfitrión modifique el contenido de un script, que era una tarea cron ejecutada por el usuario root.
Debemos encontrar dos banderas en la maquina Chill Hack. Donde a partir del escaneo de puertos de Nmap pude saber que hay un servicio HTTP,SSH, y FTP. Además, con el script http-title.nse de Nmap supe que hay una página web almacenada en el servidor web. Luego, utilice wfuzz para realizar fuerza bruta de directorios sobre sitio web, llegando a encontrar una página web, que presentaba la vulnerabilidad RCE, y mediante su explotación obtuvimos acceso al sistema destino. Luego, realizamos una escalada de privilegios horizontal aprovechando que podíamos ejecutar un script con los privilegios del usuario apaar.Luego, realizamos otra escalada horizontal a partir del uso de unas credenciales encontradas en un archivo PHP oculto en una imagen JPEG que logramos extraer utilizando Steghide y John The Ripper. Luego, realizamos una escalada vertical para ser el usuario root aprovechando que el usuario anurodh pertenece al grupo secundario Docker.
Debemos encontrar dos banderas en la maquina Gallery PwnKit Solve. Donde a partir del escaneo de puertos de Nmap pude saber que hay un servicio HTTPen el puerto 80 y 8080. Además, con el script http-title.nse de Nmap supe que hay una página web almacenada en el servidor web del puerto 8080. Donde encontré un formulario o login, que era a vulnerable SQLi Blind, permitiéndome omitir la autenticación para acceder a la página de administración de la aplicación web. Luego, pude cargar un archivo PHP, que nos genere una reverse Shell hacia mi sistema, en la imagen del avatar. Llegando a obtener acceso al sistema destino. Luego, realizamos un tratamiento del tty para que nuestra reverse Shell sea estable e interactiva. Luego, realizamos una escalada horizontal para ser el usuario mike mediante unas credenciales encontrados en el archivo .bash_history. Luego, realizamos una escalada vertical para ser el usuario root mediante un script y el editor de texto de terminal nano.
Debemos encontrar dos banderas en la maquina ARcHanG3l. Donde a partir del escaneo de puertos de Nmap pude saber que hay un servicio HTTP y SSH.Ademas, con el script http-title.nse de Nmap supe que hay una página web almacenada en el servidor web. Donde encontré un nombre de dominio el cual estuvo asociado con otro sitio web. Luego, utilice wfuzz para realizar fuerza bruta de directorios sobre sitio web, llegando a encontrar una página web, que presentaba la vulnerabilidad Path Trasnversal. Luego, se observó el contenido del archivo /etc/passwd Además, utilizando Burp Suite pude observar el contenido de los archivos de registros del servicio web. Luego, modificando el valor del encabezado User-Agent con la extensión User-Agent Switcher and Manager, y utilizando la función include pudimos ejecutar comandos remotos en el sistema destino a través del parámetro GET cmd. Luego, realizamos una escalada de privilegios horizontal para ser el usuario archangel mediante una tarea cron. Luego, realizamos una escalada...
Debemos encontrar dos banderas en la maquina tokyo ghoul. Donde a partir del escaneo de puertos de Nmap pude saber que hay un servicio FTP, HTTP y SSH. Ademas, a partir del script ftp-anom.nse de Nmap pude saber que el servidor FTP admite conexiones anónimas y se enumeró un directorio compartido,que contenía un archivo ejecutable y una imagen JPG. Luego, encontré una frase clave en el archivo ejecutable. Luego, utilice steghide para extraer un archivo oculto, que contenía el nombre de un recurso web, de la imagen usando la frase clave. Luego, utilice wfuzz para realizar fuerza bruta de directorios sobre el recurso web, llegando a encontrar un sitio web vulnerable a Path Traversal. Luego, se observó el contenido del archivo /etc/passwd. Donde se obtuvo las credenciales de un usuario a partir del crackeo de su hash mediante John The Ripper. Luego, realizamos una escalada de privilegios para ser el usuario root aprovechando que podemos ejecutar un script en Python con el comando sudo.
Debemos encontrar dos banderas en la maquina Brooklyn99 CTF. Donde a partir del escaneo de puertos de Nmap pude saber que hay un servicio HTTP, FTP, y SSH. Además, con el script http-title.nse de Nmap supe que hay una página web almacenada en el servidor web, y analizando el código fuente de la página web pude deducir que se han almacenado datos ocultos en la imagen de portada de la página web. Para ello utilice la herramienta stegcracker para crackear la contraseña que necesitaba para acceder a los datos ocultos de la imagen a través de steghide. Luego, encontré unas credenciales del usuario holt que las utilicé para acceder al sistema objetivo a través del servicio SSH. Luego, aprovechándonos de que el usuario holt puede ejecutar el comando nano con los privilegios del usuario root a través del comando sudo, llegamos a ser el usuario root.
Debemos encontrar dos banderas en la maquina Agent-sudo. Donde a partir del escaneo de puertos de Nmap pude saber que hay un servicio HTTP, FTP, y SSH. Ademas, con un script de Nmap supe que hay una pagina web almacenada en el servidor web, y utilizando Burp Suite y la extension User-Agent Switcher and Manger encontre el valor del encabezado User-Agent para obtener el contenido real de la pagina web. Donde encontre un username. Luego, realice cracking de contraseña contra el servicio SSH utilizando Hydra, encontrando unas credenciales para el servicio FTP. Luego, encontre dos imagenes. Donde llegue a extraer archivos ocultos utilizando Binwalk y Steghide. Ademas, uno de los archivos ocultos contenia las credenciales de inicio de sesion del usuario james en el servicio SSH. Luego, aprovechandonos de la vulnerabilidad CVE-2019-14287 de sudo, llegamos a ser el usuario root.
Debemos encontrar dos banderas en la maquina Anonymousv6. Donde a partir del escaneo de puertos de Nmap pude saber que hay un servicio FTP y un servicio SMB. Ademas, a partir del script ftp-anom.nse pude saber que el servidor FTP admite conexiones anonimas y se enumero un directorio compartido. Luego, debido a que el directorio compartido tenia configurado el permiso de escritura para usuarios que pertenecen a un grupo diferente al grupo primario del propietario del directorio, se llego a subir un script modificado que contenia un codigo, que generaba una conexion reverse Shell hacia nuestro sistema. Ademas, el script tenia el mismo nombre que el script original por lo que su contenido se sobrescribira en el contenido del script original. Ademas, a partir de la suposicion de que este script es una tarea cron es que se obtuvo acceso al sistema objetivo. Luego, realizamos una escalada de privilegios para ser el usuario root aprovechando que el archivo binario env tiene el permiso SUID habilitado.
Debemos encontrar dos banderas en el sistema Skynet. Donde utilice Nmap para poder saber que hay un servicio SMB y un servicio HTTP. Luego, utilice un script de Nmap para enumerar los recursos compartidos por el servidor SMB. Luego, utilice smbclient para acceder al recurso compartido anonymous. Donde se encontro un posible username y una lista de palabras. Luego, utilice Wfuzz para encontrar el recurso squirrelmail, que viene a ser un formulario de la aplicacion web SquirrelMail. Luego, realice un cracking de contraseñas contra la aplicacion web. Donde se llego a encontrar unas credenciales. Luego, en un correo electronico se encontro las credenciales del recurso compartido de Miles Dyson.Donde se encontro un archivo que contenia una ruta de una aplicacion CMS Cuppa. Luego, utilice la vulnerabilidad RFI que tenia el CMS para obtener acceso al sistema objetivo. Luego, se encontro una tarea cron ejecutada por el usuario root. Donde aproveche el uso del comodin en el comando tar para ser el usuario root.
En este caso debemos encontrar dos banderas en la maquina Plotted-TMS v3. Donde a partir del escaneo de puertos de Nmap pude saber que hay dos servicios HTTP utilizando los puertos 80 y 445. Luego, utilizo wfuzz para encontrar recursos ocultos en los directorios raiz de los servidores web. Donde encontré recursos ocultos en el directorio raíz del servidor web que utiliza el puerto 445. Llegando a encontrar el recurso management que viene a ser formulario de una aplicación web, el cual es vulnerable a SQLi blind permitiéndonos autenticarnos sin proveer credenciales. Luego, en el portal de administración de la aplicación web subimos un archivo PHP en lugar de la imagen del avatar, que nos permitio ejecutar una conexión reverse shell hacia nuestra máquina. Luego, realizamos una escalada de privilegios para ser el usuario plot_admin aprovechando una tarea cron. Luego, realizamos otra escalada de privilegios para ser el usuario root utilizando el archivo binario doas, que tiene el permiso SUID habilitado.