Write Up Arronauth.

in Road to OSCP. on Easy, Genin, Linux, MHVM, Reverse-Shell, PHP, FTP, SUDO, Gtfobins, Weak-Credentials, Reconnaissance, Protocols, Brute-Forcing, Directory-Traversalt, Fuzzing-Web, Path-Hijacking, eJPTv2
Write Up Arronauth.
  1. Reconnaissance
    1. Ping Sweep
    2. Nmap
    3. Services and Versions
  2. Vulnerability Analysis and Expltation
    1. HTTP TCP-80
  3. Escalation Privileges

Reconnaissance

Ping Sweep

sudo arp-scan -I ens33 --localnet

list

Nmap

nmap --open -p- -Pn -n -T4 -vvv -n 198.168.1.39 -oN allports

list

Services and Versions

nmap -sVC -Pn -n -p22,80 198.168.1.39 -oN target

list

Vulnerability Analysis and Expltation

HTTP TCP-80

Aunque tenemos algunos puertos en el pueto 22 no podemos hace nada de momento, asi que nos concentraremos en el puerto 80, pero no hay nada asi que vamos a fuzzerar a ver que encontramos ya que investigando las tecnologuias tampoco obtenemos nada.

list

list

El directorio /tools/ es el que me llama la atencion.

Enontramos una web que de primeras no nos dice nada, pero si insapecionamos el codigo vemos una ruta que en suceptible a directory traversal.

list

Web.

list

Ctrl + u, la ruta es la siguiente check_if_exist.php?doc=keyboard.html.

list

Web con la ruta.

list

Directory traversal.

Despues de pasr un rato probando algunas rutas en contramos la clave privada del usuario gh0st,esto porque tambien pudimor ver el /etc/passwd.

list

Contenido de passwd.

list

Clave privada de gh0st.

Aqui nos encontraremos un perquño obstaculo ya que nos pide una passfrase asi que vamos a usar ssh2john para obtenerla y conectarnos por ssh.

list

Podemos buscar la flag en el escritorio de ghOst.

Escalation Privileges

Primero, ejecutamos el comando id en Linux para obtener información sobre la identificación del usuario actual y los grupos a los que pertenece, ademas ejecutaremos uname -a y lsb_release -a para obtener información del sistema, verificaremossi otro usurio tiene permisos sudores con sudo -l, además, buscamos binarios con permisos SUID y tareas Cron en busca de posibles puntos de entrada.

Si no encontramos resultados significativos con las acciones anteriores, procedemos a subir los binarios linpeas y pspy .etc, al sistema. Estos binarios nos ayudarán a realizar un análisis de reconocimiento más exhaustivo, identificando posibles vulnerabilidades o actividades sospechosas en el sistema.

También realizamos un análisis manual del sistema, buscando configuraciones inseguras, archivos sensibles o cualquier otra anomalía que pueda indicar una posible vulnerabilidad o actividad maliciosa.

list

Sudo -l nos dice que todo pueden ejecutar el script /opt/security.sh sin contraseña, asi que vamos a husmear en el script para ver de que se trata, notamos, el script /opt/security.sh solicita una cadena de texto para codificar y luego realiza algunas validaciones. Si la cadena tiene más de 20 caracteres, muestra un mensaje de error y finaliza. Si la cadena contiene caracteres especiales, también muestra un mensaje de error y finaliza.

Tambien vemos que el script no esta atendiendo a rutas absolutas de grep y por eso nos aprovecahremos de path hijacking, y dándole permisos de ejecución.

sudo PATH=/home/gh0st:$PATH /opt/security.sh

list

Las flag esta el escritorio de root, jejje no es cierto es un troleo otravez como vimos la flag esta codificada no te dire como ya que por lo que sea el creador a dejado asi pero te puedo dar una pista yo utilice linpeas para encontrar la ruta /… aunque creo que esta en el directorio pero no le prete atencion utiliza el script /opt/security.sh.

🎉 Felicitaciones ya has comprometido Arronauth de Hack My VM 🎉

Back to Certification eJPTv2