Ctrlk
For the complete documentation index, see llms.txt. This page is also available as Markdown.

MAQUINA PASSPORT (Enum Directorios ss2john id rsa PrivEsc Creacion de archivo con permisos SUID)

Enumere los puertos abiertos de la maquina empleando lo siguientes comandos.

nmap -p- --open -sS --min-rate 3000 -vvv -n -Pn passport -oG Basicscan.txt # passport es la ip.

Luego a los puertos encontrados con los parámetros -sCV identifique los servicios y las versiones de cada uno.

El puerto FTP al no tener acceso como anonymous lo dejo para después, luego el servicio SSH al no tener credenciales lo dejo de lado, por ende comencé a realizar un reconocimiento del servidor web.

En primer paso use whatweb para identificar las tecnologías que usa la web.

Seguidamente ingrese al sitio web.

Aquí encontré 2 posibles usuario: LUIGI y DIEGO, también encontré un panel de login en la sección "Reserverd Area"

En el panel de login intente bypasearlo pero no resulto exitoso.

Probé si los usuarios encontrados son accesibles al ftp y note algo raro, al utilizar el usuario a LUIGI me dio un error y al utilizar a DIEGO me dio otro error.

Desde ya saque conclusión de que LUIGI tendría acceso al ftp, cabe recalcar que realice fuerza bruta pero no resulto.

Realice una busqueda de directorios ocultos con feroxbuster, que luego de un tiempo encontre una ruta bastante interesante.

El directorio /acct_login/trace contiene algunos subdirectorios con números, al ingresar a cada uno observe que son conversaciones vía email de varios usuarios, el cual fui guardando nombre por nombre.

Uno de estos directorios comparte una password en texto plano.

Recopile varios usuarios por lo que pase a realizar fuerza bruta al FTP empleando la herramienta hydra.

Al encontrar dicha contraseña ingrese al FTP y encontré con 2 archivos un ssh.bak y una carpeta uploads. Me descargue el ssh.bak el cual posee una clave id_rsa.

Con la herramienta ssh2john cree un hash del archivo ssh.bak que luego usando john y el diccionario rockyou logre identificar la password.

Ahora le di permisos 600 al archivo ssh.bak y con el siguiente comando, utilizando la password logre acceder como LUIGI.

Ya dentro de la maquina, luego de realizar un reconocimiento de la web, busque también la forma de escalar privilegios. En este caso use el comando sudo -l y me mostro que el archivo

/tmp/base64 /home/* puede ser ejecutado como root sin password.

Cuando revise la carpeta /tmp note no que existe el archivo base64, por lo que cree un archivo llamado como tal 'base64' y dentro de el coloque el comando: "chmod u+s /bin/bash".

Terminado de crear el archivo base64 liste la /bin/bash y observe que cambio a SUID por lo que ejecute un /bin/bash -p y obtuve acceso como root.

PreviousMAQUINA SLORT (Enum de directorios Acceso a la maquina con LFI and RCI PrivEsc Auto Elevated Executable Hijacking)NextMAQUINA PYLOADER (pyload 0.5.0 Rce No autenticado)

Last updated