Skip to main content

Thehackerslabs machines – Shined Writeup

Shined es una de las maquinas existentes actualmente en la plataforma de hacking Thehackerslabs y es de dificultad Avanzado.

 

En  este caso se trata de una máquina basada en el Sistema Operativo Linux.

 

Empezaremos con el escaneo de puertos una vez tenemos la ip que tiene la maquina a vulnerar, que en mi caso será la 192.168.0.101

 

Teniendo claro que los puertos abiertos son los 22 , 80 y 2222, ejecutaremos con nmap indicándole que también use los scripts básicos para los puertos.

 

Entramos por el puerto 80 y veremos la siguiente web, pero tras revisarla manualmente no nos llevará a nada así que pasaremos a la búsqueda de carpeta u archivos que puedan ayudarnos.

 

Usaremos feroxbuster para el escaneo con la siguiente sintaxis:

 

Y lo que nos resulta llamativo es el access.php, así que accedemos para ver que muestra.

Lo primero que intentamos es usar los usuarios/contraseñas por defecto como por ejemplo:

admin:admin
admin:password
admin:passw0rd

Pero ninguna va y lo extraño es que tampoco devuelve ningún mensaje de contraseña incorrecta o usuario incorrecto, cosa que nos hace sospechar de un posible rabbit hole.

 

Aun asi, vamos a ver si el código de la pagina nos resuelve algo.

 

Podemos ver que el form action lo dirige a # , lo cual es la misma pagina pero extraño, así que probamos a lanzar un sqlmap pero sin éxito, por lo que pasaremos a fuzzear si esta contiene algún parámetro para un posible lfi.

 

Y encontramos el parametro inet, por lo que probamos a mirar passwd para ver los usuario en el sistema

 

Anotamos el usuario cifra para poder mirar la id_rsa entre otras archivos principales.

 

Teniendo ya la id_rsa y el usuario, nos la copiamos a nuestra maquina kali, le damos permisos 600 y nos conectamos pero.. 

 

¿Por que no nos valida la id_rsa? ¿ es de otro usuario? Bueno, recordemos que tenemos otro puerto para ssh como es el 2222

 

Dentro! pero , donde estamos? por el nombre de la maquina ya podemos pensar que no es la maquina real sino un docker…

Miramos que tenemos en el directorio del usuario y esto es lo único que vemos, ni flag ni nada de momento.

 

Recordemos que la extensión xlsm es un formato de archivo utilizado por Microsoft Excel para almacenar hojas de cálculo con macros y si queremos investigar mas en él , nos lo pasaremos a nuestra maquina de la siguiente manera:

 

Lo decodificaremos en nuestra maquina para devolverlo a su formato

 

Ahora para poder abrir el fichero, tenemos dos opciones:

1- Descomprimir el fichero y mirar en el de macros

 

 

2- Usar el comando olevba

Y nos encontramos en ambos casos a un usuario con lo que parece su contraseña

leopoldo:snickers

 

Será un usuario de… quizás la maquina real? En este caso usaremos el puerto por defecto.

 

Una vez dentro ya vemos la flag de user.txt

 

Antes de usar herramientas como linpeas, haremos una búsqueda manual de lo típico que podemos mirar como sudo -l, /opt/, caps, /tmp , etc y vemos que en /tmp existe un archivo llamado backup.sh con el siguiente contenido:

 

Damos por hecho que esto es algun tipo de tarea programada, pero aun asi usamos pspy y vemos lo siguiente:

 

Por otras maquinas ya sabemos que peligro tiene un tar con un wildcard asi que vamos a explotarlo. ( Link )

 

Solo nos tocará ponernos a la escucha en el puerto 4444 y esperar a que se ejecute.

 

Y recibimos la shell

Y somos root! 

 

Ahora ya por saber como se estaba ejecutando por detrás, miramos el cron propio del usuario root que es donde están configuradas las tareas.

Hasta aquí la maquina Shined de la plataforma Thehackerslabs

 

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *