Hoy quiero seguir la racha de las entradas sobre las máquinas de VulnHub, que parece que le he cogido el gustillo. En este caso, la máquina se llama Money Heist y el autor nos dice que la dificultad no está disponible... me temo lo peor xD.
Bueno, vamos a empezar con un nmap a ver que tiene.
Puerto 21 con FTP anonimo, 80 corriendo un Apache 2.4.18 y un 55001 con OpenSSH 7.2P2.
Lo primero, vamos a ver que hay en el FTP.
Hay un fichero llamado note, que al abrirlo me dice lo siguiente:
Obviamente si ya has visto La Casa de Papel, sabrás de qué va el tema. Y poco más, no encuentro nada que me llame la atención.
Vamos a darle a GoBuster por si nos muestra algo interesante. Mientras termina, voy mirando la web.
La web solo tiene una foto con los personajes de la serie, que me guardaré por si acaso.
En /robots me encuentro otra foto, en este caso de Tokyo, que también me voy a guardar para analizarla.
Aparte de un listado de directorios, no hay mucho más. Veamos que tiene /gate, por si aporta algo.
Pues hay un ejecutable y nada más, así que, vamos a por las fotos.
La de Tokyo ya nos dice que contiene algo más que una foto simple. Usemos un editor hexadecimal para verlo en detalle.
Lo que hago es sustituir los 4 primeros valores hexadecimales por FF D8 FF EE, que es la cabecera de una imagen jpeg.
De esta forma, ya se puede abrir sin problema. Lo que muestra es:
Jajaja ¡bien jugado! Volvamos a ese ejecutable que teníamos en /gate.
Con un simple strings, tenemos algo que pinta bien, veamos que sorpresa tiene.
Otra imagen, no sé si habrá que repetir el proceso, pero mientras voy tirando de nuevo GoBuster por si las moscas.
GoBuster ha terminado y me encuentra un panel de login en /BankOfSp41n/login.php.
Además, le paso otro fichero como diccionario y me encuentra un indax.html, veamos que tiene.
Este indax tiene un about y un contact donde se pueden dejar mensajes. Además, como siempre, reviso los comentarios de la web y me encuentro con esto.
Es un mensaje de Arturo Roman en el que pide ayuda y dice que "las cosas viejas pueden no funcionar, están actualizadas". No sé si quizá se refiere al panel de login que no tenga una inyección SQL, pero bueno, vamos a seguir.
Pensando que podía haber una enumeración de usuarios, me lío con Burp a pasarle un listado de los personajes principales sin ningún resultado. Algo se me escapa.
Vale, revisando todo, acabo de caer en la cuenta que tenía un puerto 55001 con SSH, lo mismo Arturo es un usuario válido para SSH. Veamos si es así.
Pues con hydra, parece que ha funcionado y saco la contraseña para Arturo. Ahora entremos por SSH.
Una vez dentro, aparece un fichero secret.txt en el que pone lo siguiente:
Vale, pues quiero entender que habrá usuarios con los nombres de los personajes.
Efectivamente y, como era de esperar, todos restringidos. Lo que si puedo es listar el etc/passwd.
Mientras voy mirando otras cosas, me clono LinEnum para ver si me muestra algo interesante.
Pues me acabo de enterar que Arturo puede usar el comando find y que con eso puedo escalar privilegios.
Y entrando en el home de Denver me encuentro con:
En la última línea podemos ver un nuevo directorio, así que, vamos a entrar.
Espero que eso no sea morse, porque recuerdo otra máquina de hace unos años en la que encontré algo así y fue una put* tortura. Cagontó... Menos mal que hoy en día hay decodificadores de todo en Internet.
Esto que veis aquí en 3 imágenes, me ha llevado varias horas (más de las que me gustaría reconocer). El puñetero código morse te devuelve otro que se llama Tap-Code, este te devuelve un ROT13 que a su vez te devuelve un Affine Cipher, que por fin te da la maldita contraseña. La madre que parió al autor.
Pues nada, entremos como Nairobi por SSH a la máquina.
Si recordamos unas líneas más arriba cuando LinEnum me dijo que Denver podía hacer uso de find, también estaba Nairobi que ponía que podía usar gdb, así que, repitamos la jugada de Denver, pero con Nairobi.
Usaré ese para elevar privilegios a Tokio.
/usr/bin/gdb -nx -ex 'python import os; os.execl("/bin/bash", "sh", "-p")' -ex quit
Dentro del home de Tokio, encuentro este fichero con nombres que parecen en las típicas pelis de soldados (o policías) xD. Ni idea de que va.
También encuentro un directorio llamado nano y dentro un fichero nano.save con el siguiente contenido.
Estoy más perdido que un sordo en un dictado, me cagüentó...
Después otro lago rato, de repasar todo, de poner la máquina patas arriba buscando algo coherente, me doy cuenta que la contraseña "está en el .sudo_as_admin_successful". A ver, analicemos.
Romeo Oscar Oscar Tango Stop Papa Alfa Sierra Sierra Whiskey Oscar Romeo Delta : India November Delta India Alfa One Nine Four Seven
Después de los 2 puntos, lo primero es India, después viene noviembre que es el mes 11, Delta que es la 4ª letra del abecedario Griego. Luego India otra vez, Alfa que es la 1ª letra del alfabeto Griego, One que es un 1, nine 9, four 4 y seven 7. Así que tengo:
ROOT PASSWORD: India114 e India11947
Pero tampoco vale ninguna de las dos contraseñas, hasta que ya, al borde del colapso, lo miro y lo veo:
India November Delta India Alfa
ROOT PASSWORD: India1947
Y ahora si, por fin puedo acceder como root.
Llamadme mezquino (¡mezquino!), pero este tipo de retos, para una auditoría en la vida real, no valen para absolutamente nada. Están muy bien, porque te hacen pensar y demás, pero en la vida real no te encuentras un Linux que para escalar privilegios tengas que andar descifrando código morse, ni ver un fichero de texto en el que te ponga Tango Charli Delta y que eso sean las pistas para la contraseña de root. Así que, muy entretenido, pero me aporta más bien poco. Es MI opinión.
Nos vemos en la siguiente.
0 comentarios:
Publicar un comentario