Write Up Vaccine.

in Road to OSCP. on Easy, Genin, Linux, HTB, Web, Network, Vulnerability-Assessment, Database, Injection, Custom-Applications, Protocols, Source-Code-Analysis, Apache, PostgreSQL, FTP, PHP, Reconnaissance, Password-Cracking, SUDO, SQLi, RCE, Clear-Text-Credentials, Anonymous_Guest-Access, eJPTv2
Write Up Vaccine.
  1. Reconnaissance
    1. nmap
    2. Services and Versions
  2. Vulnerability Analysis
    1. FTP TCP-21
    2. HTTP TCP-80
  3. Exploitation
  4. Privilege Escalation

Reconnaissance

nmap

Utilizando nmap, comprobamos qué puertos están abiertos.

nmap --open -p- -Pn -n -T4 -vvv -n 10.129.155.40 -oN allports

list

Services and Versions

nmap -sVC -Pn -n -p21,22,80 10.129.155.40 -oN target

list

Vulnerability Analysis

FTP TCP-21

Tenemos tres puertos abiertos, pero nos centraremos en el puerto FTP que según nmap tiene habilitado el usuario anonymous.

list

Husmeando en el servicio, encontramos un archivo llamado backup.zip que descargaremos con el comando get backup.zip.

Una vez que tenemos el archivo en nuestra máquina, al intentar descomprimirlo no podemos hacerlo porque tiene una contraseña y por el momento no tenemos ningún tipo de credenciales. Por lo tanto, nos aprovecharemos de una utilidad llamada zip2john.

zip2john backup.zip > hash

list

Con ese hash, usaremos John the Ripper para obtener la contraseña de backup.zip.

list)

La clave de backup.zip es 741852963.

Obtenemos un archivo index.html con el usuario admin y un hash encriptado en formato MD5, el cual vamos a descifrar utilizando una herramienta en línea llamada Crackstation.

list)

Hash encritado.

list)

La contraseña para en usuario admin es querty789.

HTTP TCP-80

De primeras entrando en la web no topamos con un login que probaremos las credenciales obtenidas, deapues de un reconocimiento a la web vemos un cambo vulnerable a SQL injection.

list

El campo vulnerable es search poruq al probar alguna queri maliciosa el programa se ve afrctado any+query’ –.

Exploitation

Aunque podriaamos hacerlo de forma manual la explotacion de esta vulnerabilidad aun no tenemos los habilidades para lograrlo asi que primero vamos a usar una herramienta automatizada llamada sqlmap para ganar una shell de sql y hay mandarnos una reverse-shell estando con netcat a la ecucaha.

list

Uso de SQLMap y para que funcione debemos de arrastrar la cookie del usuario admin de lo contrario no funcionara.

list

Shell de sql.

list

Shell obtenida del usuario postgres, la flag esta en el escritorio del usuario.

Privilege Escalation

Intentaremos encontrar la contraseña en la carpeta /var/www/html, ya que la máquina utiliza tanto PHP como SQL, lo que implica que debería haber credenciales en texto claro , pero no conseguimos nada, buenas practica podemos subir el binario de LinEnum,etc, pero en este caso y simpre debemos probar verificar los permisos de sudoers SUDO, con el comando sudo -l.

list

Vemos que todo mundo puede ejecutar el binario de vi y e hala vulnerabilidad.

Hay una pagina llamada GTFObins que podemos buscar el binario en hay nos dicen como podemos explotarlo.

Primero abrimos un archivo vi cualquiera y com escape + : pegamos los comandos esto nos dara shell de root.

set shell=/bin/sh

shell

list

{.note} Ya podemos buscar la flag en el escritorio de root.

🎉 Felicitaciones ya has comprometido Vaccine de HackTheBox 🎉

Back to Starting-Point

Back to Certification eJPTv2