KIOPTRIX: LEVEL 1.2 (#3)

Hola a todos, tercera entrega de la saga Krioptrix!. Aquí ya se empiezan a complicar un poquito las cosas, la verdad que ha estado muy bien el root de está maquina.. Empezamos:

Recursos y software utilizado:

Kali Linux 2018

Nmap

Vega

MYSQL
Guía de explotación:

El primer paso será realizar un escaneo con Nmap, a ver que puertos y servicios se encuentran abiertos:

nmap-2521902213-1520336252521.png

Como podemos observar, tenemos tanto el puerto 22 como el 80 abiertos, empezaremos buscando vulnerabilidades en el servicio web. Nos conectamos mediante el navegador a ella y localizamos una página de login, en la cual intentamos bypass de SQLI y contraseñas por defecto de admin, con resultado infructuoso.

paginaAdmin.png

En la imagen superior, nos damos cuenta que el CMS que utiliza la página web es Lotus, por lo cual lo dejaremos anotado por si localizamos alguna falla.

Lanzaremos VEGA que es un escaneador de vulnerabilidades y veremos si localizamos alguna explotable:

vegaSQLI.png

Bingo! :D, vemos que hemos localizado lo que al parecer puede ser un fallo por SQLI, procedemos a comprobarlo en nuestro navegador, dirigiéndonos a la dirección que nos sale en el REQUEST de Vega.

checkvegaSQLI.png

Efectivamente no se trata de un falso positivo.

Una vez comprobado vamos a buscar en google a ver si localizamos algun exploit al efecto. Para ello iremos a exploit-db.com y como vemos en la imagen inferior, hay uno que coincide a la perfección, explota el CMS Lotus y el método eval()’, tal como nos indicaba el error en nuestro buscador.

exploitDBeval.png

Nos dirigimos a Metasploit, configuramos las opciones que nos piden y lanzamos el exploit, obteniendo una shell meterpreter con el usuario www-data.

showoptionsmetasploitymeterpreter.png

Al tener conocimiento que el servidor corre MYSQL, intentaremos localizar algún archivos de configuración .php, del cual sea posible obtener alguna contraseña en texto plano, para ello utilizamos el comando find:

findgconfigphp.png

Encontramos el gconfig.php, procedemos a ver su interior y nos encontramos con un maravilloso usuario de SQL y su correspondiente password:

catgconfigpassroot.png

Logueamos mediante la terminal a MYSQL, a ver si localizamos los passwords de los usuarios del sistema:

mysqldatabases.png

Después de un tiempo buscando en la DataBase, encontré las tablas de usuarios y sus passwords en la DB de gallery:

mysqltablesandhashes.png

Aquí tenemos todos los users y passwords en MD5 del sistema, vamos a nuestro buscador a cualquier página que decodifique MD5 y procedemos con los dos hashes:

hashesMD5-3060299592-1520335193182.png

Al tener ya el password, loguearemos con loneferret mediante SSH, ya que buscando con el usuario www-data por el servidor, encontramos en la carpeta de este usuario, que podía utilizar algunos comandos como root, para proceder a la escalada de privilegios.

sshloneferret.png

Una vez dentro con loneferret realizamos el correspondiente sudo -l, para ver que comandos nos pueden permitir una escalada de privilegios:

sudolloneferret.png

Como vemos en el archivo bash_history, este usuario pudo abrir el editor HT como root, por lo tanto procederemos a abrir el editor y ver que posibilidades tenemos.

En primer lugar, consultamos el archivo /etc/shadow, conseguimos el hash y lo dejamos desencriptando con la herramienta Johnny.

rootshadow.png

En segundo lugar, consultamos el archivo /etc/sudoers y vemos si lo podemos modificar, al efecto que el usuario loneferret, tenga los mismos permisos que el usuario root:

sudoers.png

Voila!, nos permite modificarlo, eso significa que saliendo del programa y realizando un sudo su, nos permitirá escalar a root sin problema :D.

sudosuroot.png

Una vez somos root nos dirigimos a su carpeta y localizamos nuestra final flag!

finalflag!.png

THE END 🙂

Anuncios

Deja un comentario