Vulnhub-System Failure:1 CTF Walkthrough

 

Con la herramienta NetDiscover realizaré un reconocimiento de la red para identificar la máquina objetivo.

La dirección IP de nuestra máquina objetivo es 192.168.50.187. ahora con la herramienta Nmap realizaré un escaneo de puertos.

La máquina objetivo tiene los siguientes puertos abiertos el puerto: 21,22,80,139,445. Ahora realizaré un escaneo para averiguar la versión de los servicios que se están ejecutando en esos puertos.

Ahora enumeraré directorios del servidor web, utilizaré la herramienta dirsearch.

La herramienta no encontró directorios más que el archivo index.html. Ahora realizaré enumeración del smb, para realizar esta tarea utilizaré la herramienta smbmap.

Como se observa en la imegen encontramos un usuario llamado anonymous, ahora utilizaré la herramienta smbclient para conectar al servidor a través del protocolo smb.

Encontramos un archivo llamado share, lo descargaré en mi máquina atacante para ver su contenido.

El archivo share contiene un mensaje y hash dejado por el administrador. Utilizaré la herramienta hash-identifier para saber qué tipo de hash es.

La herramienta indica que el tipo de hash es MD5, utilizare la herramienta online crackstation para descifrar el hash.

La herramienta logro descifrar el hash qazwsxedc. Ahora utilizaré la herramienta enum4linux para obtener información del sistema operativo.

La herramienta enum4linux identifico a 4 usuario en la máquina objetivo. Lo que haré será utilizar el hash anteriormente descifrado y con la herramienta hydra verificare si algún usuario realiza login con el hash descifrado al servicio ssh.

El usuario admin dio positivo al hash descifrado, Ahora realizaré la misma comprobación con el servicio ftp.

El usuario admin utiliza la misma contraseña tanto para el servicio ssh y ftp.

Ahora realizaré una conexión ssh a la máquina objetivo para analizar los archivos.

El directorio ./Syst3m/F4iluR3 contine varios archivos de tipo .txt

El contenido de los archivos son todos algo parecidos, lo que haré será descargar los archivos y concatenar todos los archivos y obtener solo cadenas de texto únicas y observar si se encuentra algo interesante.

Con los archivos descargados, utilizaré la herramienta cat para concatenar todos los archivos en un único archivo.

Utilizare el comando grep y sort para obtener cadenas únicas del archivo combined.txt.

Como se muestra en la imagen hay una única cadena que no tiene sentido, la cadena está en base62 para más información sobre base62. Utilizaré  cyberchef para descifrar la cadena en base62.

Como se muestra en la imagen al parecer es una ruta a un directorio. ahora revisaré el directorio /var/www/html recordemos cuando ejecutamos la herramienta dirsearch no descubrimos ningún directorio, ahora que tengo acceso tanto por ssh y ftp explorare este directorio.

Al analizar el directorio /var/www/html encontramos un directorio llamado area4, exploraré el directorio.

Existe un directorio llamado Sup3rS3cR37 que coincide con nuestra cadena en base62 descifrada, analizare el directorio.

En el directorio llamado Sup3rS3cR37 hay otro directorio llamado System que contine dos archivos.

En el archivo note.txt hay un mensaje que dice "Chicos, les dejé algo aquí, conozco bien sus habilidades, debemos intentar darnos prisa. No siempre todo sale bien." y en el archivo useful.txt hay un listado de palabras.

Utilizaré este listado y los usuarios encontrados con la herramienta enum4linux, para realizar fuerza bruta contra el servicio ssh.

Encontramos una contraseña "xelav" para el usuario valex. ahora conectaré por ssh a la máquina objetivo con el usuario valex.

Como se muestra en la imagen conecte al servicio ssh con el usuario valex, luego ejecute el comando sudo -l para saber que permisos tiene el usuario valex, el usuario valex puede ejecutar un archivo llamado pico que es un archivo binario, que pertenece al usuario jin. 

Como no sé qué hace el archivo pico lo ejecutaré con el siguiente comando sudo -u jin pico.

El archivo binario es una copia de editor nano de Linux, ejecutaré la siguiente combinación de teclas en nano para obtener una terminal (^R ^X).

Posteriormente de ejecutar la combinación de teclas anteriormente mencionada ejecute el siguiente comando reset; bash 1>&0 2>&0, este comando nos permite obtener una terminal con el usuario jin.

Obtuvimos una terminal con el usuario jin.

Al revisar el directorio /home de jin encontré un archivo llamado secret.txt, veré su contenido.

Hay un mensaje que dice "Recordatorio: había dejado algo en /opt/system" me cambiaré al directorio /opt/system y lo analizaré.

Al parecer son falsa pista. Lo que haré será ejecutar el siguiente comando de Linux.

tenemos el binario systemctl como root, por lo tanto, puedo crear un servicio que me permita tener acceso como root. Hasta este punto debo adminitir que no sabia como lograr crear un servicio que me permitiera obtener una shell con permiso de root. así que me tuve que apoyar en el siguiente writeup  intentaré de explicar cada comando ejecutado. 

Explicación:

TF=$(mktemp).service

En esta línea, se esta creando una variable llamada TF que almacena el nombre de un archivo temporal generado por mktemp. mktemp es un comando que se utiliza para generar archivos temporales de manera segura.

La expresión $(mktemp) generará un archivo temporal único y aleatorio y se concatenara con la cadena .service. Por lo tanto, la variable TF contendrá el nombre de un archivo con la extensión .service.

Luego, se utiliza el comando echo para escribir un bloque de texto en el archivo cuyo nombre está almacenado en la variable TF. El bloque de texto contiene configuración de systemd para un servicio. Las líneas [Service], [Install] son secciones de configuración para el servicio systemd, y dentro de [Service], se especifica que el servicio es de tipo oneshot y se ejecuta el comando chmod +s /bin/bash.  El sistema se habilita para ejecutarse al arranque del sistema multiusuario.

systemctl link $TF 

En esta línea, se utiliza el comando systemctl para vincular el archivo de servicio almacenado en la variable TF al directorio de systemd. Esto es necesario para que systemd reconozca y gestione el servicio.

systemctl enable --now $TF

Se utiliza el comando systemctl para habilitar (enable) y comenzar (--now) la ejecución del servicio cuyo nombre esta almacenado en la variable TF. Con lo anterior el servicio se iniciará automáticamente en el arranque del sistema y se ejecutará inmediatamente.   

Por último, ejecutamos el comando bash -p este comando se utiliza para iniciar una nueva instancia del intérprete de comandos bash con la opción -p o --privileged. Esta opcion -p o --privileged se utiliza para iniciar bash con privilegios elevados. 

Happy Hack!!!