12 ~ Inclusion - Linux

Una vez iniciada la maquina, le lanzamos un ping para saber varias cosas, la primera nos dice si tenemos conexión con la maquina y la segunda nos hace saber que tipo de sistema operativo es, gracias al ttl.

En este caso es una maquina Linux con el ttl 63, pero realmente el ttl es de 64, esta disminución es debido a los nodos intermediarios de la red.

1. Escaneo de puertos.

Una vez verificado que tenemos conexión con la maquina, vamos a realizarle un escaneo de puertos con la herramienta nmap.

Descripción de los parámetros:

• -p- : Escanea los puertos especificados, en este caso escanea los 65535 puertos.

• --open : Muestra solo los puertos abiertos.

• -sS : Escanea mediante TCP SYN.

• --min-rate : Envía paquetes no mas lentos que el número indicado por segundo en nuestro caso 5000.

• -Pn : Omite el descubrimiento de host.

• -n : No realiza resolución DNS.

• -vvv : Muestra la información mientras se esta realizando el escaneo.

• IP : La IP que queremos escanear.

• -oG : Guarda la salida del escaneo en un formato grepeable.

Una vez finalizado el escaneo, realizaremos otro escaneo mas exhaustivo con la misma herramienta.

Descripción de los parámetros:

• -p : Escanea los puertos especificados.

• -sC : Lanza varios scripts defaults de nmap.

• -sV : Determina los servicios que están corriendo en los puertos además de información extra.

• IP : La IP que queremos escanear.

• -oN : Guarda la salida en el formato de nmap.

2. Recolección de información.

Tras finalizar vemos que tenemos dos puertos, vamos a analizar el puerto 80 con el servicio http, ya que es el único donde podemos buscar algo de información.

Lo primero seria lanzar la herramienta whatweb para conocer un poco la pagina web.

Una vez visto la información, vamos a ingresar a ella.

Realizamos una investigación para ver que podemos obtener de ella, y vemos que si nos movemos a una entrada del blog, la url cambia.

Vamos a probar a realizar un ataque LFI, a ver si podemos listar algún tipo de información de la maquina.

Parece ser que podemos listar el archivo /etc/passwd y en el se aloja unas credenciales, que probaremos con el servicio ssh.

3. Ganando acceso a la maquina.

4. Escalada de privilegios.

Lo primero es buscar la flag del usuario.

Toca realizar una enumeración del sistema, y sin ir muy lejos nos encontramos que estamos en el grupo LXD.

Vamos a buscar con la herramienta searchsploit un script.

Comprobamos si en la maquina hay alguna imagen que podamos utilizar para ejecutar dicho script.

Vemos que no tenemos ninguna imagen, toca buscar una y descargarla, en este caso hemos utilizado la imagen alpine.

Ejecutamos la imagen.

Y ahora tendremos que transferir estos dos archivos a la maquina victima, pero antes modificaremos la cabecera del script.

Y le pasaremos la herramienta dos2unix para evitar fallos.

Una vez terminado el arreglo, miramos si la maquina victima contiene el comando wget, y vemos que si lo tiene.

Ahora abrimos un servidor con python3, y nos transferimos los archivos.

Toca darle permisos al script.

Y lanzamos el script.

Y somos root, pero del contendor, si buscamos en la carpeta /mnt veremos la flag, pero antes vamos a darle permisos SUID, para poder tener una bash como root fuera del contendor.

Nos salimos del contendor y ejecutamos el siguiente comando.

Y SOMOS ROOT!