MAQUINA BASHPARIENCIAS (PIVOTING USER + PRIV ESC. 'suplantacion con TEE')

Inicie la maquina de dockerlabs.

Luego a través del comando ping verifique no solo la conectividad si no también al tener el ttl de 64 ya me doy cuenta que estoy ante una maquina Linux.

Luego con una herramienta que realice en python3 realizo un escaneo de puertos + escaneo básico de reconocimientos, sus versiones y por ultimo realiza un escaneo de vulnerabilidades.

Tengo en escucha los puertos 80 http y el puerto 8899 donde corre un servicio ssh de versión desactualizada.

Como no tengo credenciales para ingresar a través del ssh voy a comenzar observando el sitio web.

Primero verifico las tecnologías a través de whatweb, y luego las veo a través de wappalyzer.

Ya que tengo un poco de info sobre la web voy a realizar un reconocimiento general este servicio web.

Desde el principio hay un comentario baste interesante donde me indica que el usuario rosa dejo su password sin cifrar.

Antes de revisar el contenido de la web realice un escaneo de directorios con gobuster. (no dan mucha info)

Reviso el código fuente y tengo una posible pista.

No ayudo mucho así que seguí mirando la web y me encontré con un formulario de registro donde no te algo interesante. En el segundo producto hay una descripción de rosa así que por ende fui al código fuente.

Al parecer si era verdad, dejo el password plasmado sin nada así que me guarde estas credenciales y luego como tengo el ssh disponible probé si estas son validas.

Listo estoy dentro de usuario rosa, ahora realice un reconocimiento del sistema y demas.

Tengo 2 usuarios mas aparte de rosa y de root: "carlos y juan".

Dentro de directorio home tengo una carpeta sin nombre pero se encuentra con el - .. para adentrarme en esta carpeta debo hacerlo de la siguiente forma.

Ya dentro tengo 2 archivos 1 zip y 1 txt, paso a leer el txt y dice lo siguiente.

Al aparecer juan le compartió la password a rosa, así que me traje el archivo a mi maquina atacante crackearlo y poder abrirlo ya que el mismo esta protegido con password.

Con la herramienta zip2jhon voy a crear un hash para que luego con jhon poder descifrar la contraseña del hash.

Ahora que tengo la password voy extraer el contenido del archivo zip.

Como tengo la password de juan voy a adentrarme a través de ssh o también haciendo un su juan en la misma maquina o login de rosa.

Ya siendo el usuario juan ejecuta el comando sudo -l para ver si algún usuario tiene permiso de supe usuario (root).

En este caso carlos puede ejecutar los comandos tree y cat sin requerir contraseñas.

El comando tree puede listar los contenidos del directorio en forma de árbol y el comando cat puede leer los archivos.

Como soy el usuario juan, no puedo leer el contenido del usuario Carlos ni rosa, pero con estos binarios ejecutándolos como usuario Carlos si voy a poder leer los archivos de la carpeta de Carlos.

En el directorio de Carlos me encontré con un archivo llamado password el cual decía "chocolateado" y luego un archivo llamado .misecreto.txt que decía lo siguiente.

Al encontrar esto me di cuenta que la contraseña de Carlos es chocolateado xD.

Así que ejecutando un su Carlos me loguie dentro de la maquina.

Ahora al listar el contenido de la carpeta, tengo el bash_history que si lo ejecuto con un cat observo que esta ejecutando "sudo -l" y luego se mueve a root.

Ejecuto dicho comando y veo que con el comando tee tengo permisos para ejecutar como super usuario.

Este comando se utiliza para sobrescribir un archivo ya existente por lo que me pareció interesante tratar de sobrescribir el archivo /etc/passwd agregándole un usuario con permisos de root.

Para ello realice lo siguiente.