Skip to main content

Vulnyx machines – Gattaca Writeup

Vulnyx machines – Gattaca Writeup

Gattaca  es una de las maquinas existentes actualmente en la plataforma de hacking Vulnyx y es de dificultad Hard.

 

En  este caso se trata de una máquina basada en el Sistema Operativo Linux.

 

Empezaremos con el escaneo de puertos una vez tenemos la ip que tiene la maquina a vulnerar, que en mi caso será la 192.168.0.114

 

Una vez tenemos los puertos abiertos, ejecutaremos con nmap con el parámetro -sCV para que le pase los scripts por defecto y conseguir mas información de cada uno de ellos.

 

Usamos feroxbuster para escanear posibles archivo y carpetas

 

Vamos viendo que tenemos en el puerto 80

 

Tal y como habíamos visto, tenemos un archivo cards.php, la cual la visitamos pero tenemos un basic auth en el cual no podemos entrar con usuario:contraseña comunes

 

También tenemos una carpeta llamada cards con 4 fichero sin datos.

 

Sin ver nada mas que mirar, usaremos hydra para tirar fuerza bruta sobre cards.php

 

Entramos y vemos el siguiente contenido

 

Así que tras poner una carta como adenine.txt y no ver nada, pensamos en un posible LFI pero parece ser que hay algún tipo de blacklist

 

Y si miramos la propia pagina cards.php? Quizás podamos así ver el código

 

Lo que estamos viendo es que el fichero se lee a través del binario cat y también existe una blacklist PERO siempre y cuando sea por petición POST así que mandaremos por get

 

Si esto lo hemos podido ejecutar con el shell_exec , significa que tenemos RCE como podemos ver a continuación

 

Por otro lado, vamos a ver también que procesos están corriendo en el servidor

 

Teniendo RCE, nos vamos a tirar una reverse shell, primero levantamos un python http sirviendo un fichero llamado s, un netcat y lanzamos nuestra petición por burpsuite.

 

Lanzamos la petición http

 

Y estamos dentro como www-data

 

Si vamos al directorio anterior, vemos un archivo llamado ftppolicy.txt, el cual tiene la siguiente información:

 

Esto nos viene a decir, que nuestro objetivo ha de ser i.cassini y no nos valdrá de nada el diccionario rockyou.txt,  después de muchas vueltas y vueltas, creando diccionarios, pensamos en una herramienta llamada cupp en la cual, la aplicación te hace una serie de preguntas a través de las cuales te crea el diccionario.

 

Tal y como decía el nombre del fichero, debería de ser la autenticación contra el servidor ftp así que para ganar tiempo mientras usamos otras herramientas a la par, usaremos chisel + hydra para traernos el puerto que solo esta en escucha de manera local ( De hecho se comprueba que utilizando la herramienta suForce , pasa de la correcta )

 

Ahora que ya sabemos la contraseña de i.cassini, escalamos a su usuario y vemos que podemos ejecutar el binario acr como root

 

Leyendo el man del binario, lo básico para poder ver la flag de root aunque de error, será con la flag -d 

 

Hablando con J4ckie0x17, comenta que la forma de escalar a root es la siguiente

 

Hasta aquí la maquina Gattaca de la plataforma Vulnyx

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *