Sites

Hoy haremos la maquina Sites de Dockerlabs

autor

Autor: ElPingüinoDeMario

Dificultad: Medio

Vulnerabilidad: LFI(Local File Inclusion)

Herramientas a utilizar: Nmap, Hydra

​ Opcional: Gobuster

Scripts necesarios: Php_filter_chain_generator

INTRUSIÓN

Primero comenzamos haciendo un escaneo de nmap

No se encuentra nada interesante así que continuaremos entrando desde el navegador para ver que encontramos.

PUERTO 80:

puerto80

Luego de estar leyendo la página veo que trata como de un "foro" el cual explica un poco de la vulnerabilidad LFI. Revisé el código fuente y no encontré nada pero por probar antes de usar feroxbuster/gobuster se me ocurrió entrar a un archivo que nombraba en la "publicación", el cual se llama "vulnerable.php". Resulta que si es un archivo y ya no nos hace falta usar feroxbuster/gobuster ; nos dice lo siguiente:

vulnerablePHP

Nos dice que le demos un "page" o "username", viendo que la extensión del archivo es '.php' podemos probar poner '?page=' o '?username=' e introducir algo, si en "username" ponemos cualquier cosa nos da la bienvenida pero en "page" se encuentra lo interesante ya que podremos hacer un LFI, y leer archivos del sistema. Primero probé poner "../../../../../../../../../etc/passwd" como algo típico pero quedaba en blanco, así que probé con "/etc/passwd" y ya me mostró el archivo, por lo que confirmamos que trata de un LFI.

Intento conseguir el "id_rsa" de root o de alguno de los usuarios por probar ya que antes vimos que el puerto 22 de ssh estaba abierto, pero no funciona; así que se me ocurre utilizar los wrapper de php. Al probarlos vemos que funcionan por lo que significa que podemos ejecutar comandos ayudándonos con el script Php_filter_chain_generator simplemente poniendo

Estuve un rato probando en subir un archivo y enviarme una reverse shell pero finalmente la solución fue mucho mas simple ya que se encontraba un archivo llamado "archivitotraviesito" el cual tenia lo siguiente: archivitotraviesito

Por lo que ya tenemos la contraseña del ssh(el mensaje no nos dice el usuario pero como nosotros vimos el "/etc/passwd" y sabemos que hay uno llamado chocolate, pero para confirmar podríamos usar hydra o medusa dependiendo de los gustos). Nos conectamos por ssh con usuario "chocolate" y contraseña "lapasswordmasmolonadelacity" y listo, estamos dentro.

ESCALADA DE PRIVILEGIOS

Ya estando dentro podemos ejecutar "sudo -l" para ver si tenemos suerte y podemos ejecutar algun binario como root. Por suerte encontramos lo siguiente:

luego de buscar en GTFOBins vemos que podemos realizar una escalada mediante ese binario usando

ejecutamos

y listo. SOMOS ROOT

root
AnteriorShowtimeSiguienteSmashing

Última actualización