Skip to main content

Dockerlabs machines – HackTheHeaven Writeup

Dockerlabs machines – HackTheHeaven Writeup

HackTheHeaven  es una de las maquinas existentes actualmente en la plataforma de hacking Dockerlabs y es de dificultad Difícil

 

En este caso se trata de una máquina basada en el Sistema Operativo Linux.

 

Empezaremos con el escaneo de puertos una vez tenemos la maquina a vulnerar levantada , la ip por defecto será la 172.17.0.2.

 

Una vez tenemos los puertos abiertos, ejecutaremos con nmap con el parámetro -sCV para que le pase los scripts por defecto y conseguir mas información de cada uno de ellos.

 

Lanzamos feroxbuster para ver que carpetas o paginas existen que tengan las extensiones php, html o txt

 

Por el puerto 80 vemos lo siguiente

 

Miramos el fichero info.php que pensamos que será un phpinfo.php

 

Idol.html , en el cual nos da una pista de por donde puede venir la vulnerabilidad, LFI

 

Por ultimo revisamos clouddev3lopmentfile.php, el cual ya nos muestra un mensaje

 

Le haremos caso y fuzzearemos en busca de un parámetro

 

Intentando hacer las primeras comprobaciones manualmente y viendo que puede ser un rabbit hole, usamos un diccionario de diferentes payloads:

 

Si probamos cualquiera payload para leer el fichero passwd..

 

No vemos ningún archivo como id_rsa de los usuarios o algún otro que nos diga por donde debemos de ir así que vamos a ver que procesos están corriendo por si tiene alguna contraseña en su propia ejecución o lo que nos encontraremos una vez estemos en la maquina pero por ahora nada interesante.

 

Teniendo un LFI y un phpinfo, buscando si tenemos cierta opción para que se cumpla un LFI2RCE

 

Asi que tenemos una posibilidad de que pueda venir por aquí la intrusión, usaremos el mismo script de github pero modificando el path del php info y el payload que ejecutará

 

El fichero s contendrá el siguiente comando, nos pondremos en escucha por ese puerto y también levantaremos python http

 

Recibimos la conexión

 

Al intentar ir a ver las home de los usuarios nos encontramos con una nota

 

Intentamos usar esta contraseña con alguno de los usuarios que ya conocemos, escalamos a xerosec y vemos que podemos ejecutar como sudo lo primero

 

Vemos el contenido de script.py pero no tenemos permiso para editarlo

 

¿Qué podemos hacer? Siendo que nosotros lo ejecutamos, creamos un hashlib.py en /tmp para que el primer lugar donde ira a buscar la librería sea desde donde lo ejecutamos.

 

Ejecutamos de nuevo el script y nos da el siguiente output

 

Asi que en vez de escalar vamos a ver que tiene en su home, recordando que existía un servicio php corriendo en el puerto 9999

 

Hacemos caso de lo indicado y tratamos de lanzar una petición, haciendo que como s4vitar es el que esta corriendo el proceso, cualquier comando se interpretará a través de su usuario.

 

Nos vamos a entablar una reverse shell para convertirnos en el usuario s4vitar, volvemos a modificar el contenido de la librería, nos ponemos en escucha y la ejecutamos

 

Con este nuevo usuario usamos sudo -l para comprobar si tenemos privilegios con algún binario

 

Nos convertiremos por fin en root

 

Y hasta aquí la maquina de HackTheHeaven de la plataforma Dockerlabs!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *