deviltrigger@home:~$

Todas las publicaciónes

Quién soy?

Quick WriteUp HackMyVM

Hey!

Hoy vamos a probar la máquina “Quick”, que como su nombre indica es una máquina muy rapida de completar.

quick

Reconocimiento

Utilizando nmap, vamos a ver que puertos tiene abiertos la máquina

nmap -sVC 10.0.2.4

Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-02-29 15:33 CET

Nmap scan report for 10.0.2.4

Host is up (0.00039s latency).
Not shown: 999 closed tcp ports (conn-refused)
PORT   STATE SERVICE VERSION
80/tcp open  http    Apache httpd 2.4.41 ((Ubuntu))
|_http-title: Quick Automative
|_http-server-header: Apache/2.4.41 (Ubuntu)

Cuando termine el proceso, podemos ver que solo tiene el puerto 80 abierto y que es una máquina con el sistema operativo “Ubuntu” que utiliza la versión de “Apache” 2.4.41

Entramos en el puerto 80 desde el buscador y vemos la siguiente página

Captura desde 2024-02-29 15-51-34

Si probamos a entrar en otra pestaña de la página, nos daremos cuenta de que la URL llama a los diferentes scripts utilizando la función “page”

http://10.0.2.4/index.php?page=cars

Captura desde 2024-02-29 15-55-54

Explotación

Podemos intentar que la página ejecute comandos desde la URL, para ello iniciaremos un servidor php para probar si podemos hacer que ejecute archivos de nuestra máquina

Captura desde 2024-02-29 16-02-40

Parece ser que si ejecuta archivos, pero añade la extensión “.php” al final de cada fichero. Podemos probar que ejecute una revershell para conectarnos a la máquina

Captura desde 2024-02-29 16-07-49

¡Efectivamente! nos hemos podido conectar a la máquina. Ahora lo que hacemos es configurar nuestra terminal para que sea interactiva y sea más agradable su uso

script /dev/null -c bash
CTRL + Z
stty raw -echo; fg
reset xterm
export TERM=xterm
export SHELL=bash

Ahora nos dirigimos a la carpeta del usuario “andrew” y allí tendremos la primera flag de la máquina

Captura desde 2024-03-01 17-10-42

Escalada de privilegios

Primero buscamos las SUID de los binarios utilizando la herramienta “find”

find / -perm -4000 2>/dev/null

Y encontramos que el binario “php7.0” tiene SUID

Captura desde 2024-03-01 17-13-34

Ahora buscamos alguna escalada de privilegios que pueda funcionar con php. Si miramos en GTFOBins podemos hacer esta escalada

Captura desde 2024-03-01 17-27-05

La ejecutamos y seremos el usuario “root”

Captura desde 2024-03-01 17-28-42

Y ahí conseguiríamos la 2ª “flag” de la máquina.