Future
Resolución de la máquina Future de Vulnyx.
Se analizarán los puertos y protocolos que contiene la máquina en cuestión.
sudo nmap -sS 192.168.79.131 -Pn -n -p- --min-rate 5000
[sudo] password for beel:
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-05-02 10:48 CEST
Nmap scan report for 192.168.79.131
Host is up (0.0043s latency).
Not shown: 65533 closed tcp ports (reset)
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
MAC Address: 00:0C:29:02:7B:8B (VMware)
Nmap done: 1 IP address (1 host up) scanned in 18.00 secondsSe hará fuzzing (fuerza bruta de directorios) para poder ver que directorios tiene la web, en este caso debemos prestar atención en la dirección de page.htmly homework.html.
En la ruta homework.html podemos ver que tenemos la capacidad de poder subir archivos.
Una vez subimos un archivo podemos comprobar que nos muestra un error de PDF.
Haciendo una pequeña prueba vemos que hace uso de "wkhtmltopdf" el cuál se podría abusar de el para provocar un SSRF.
Volvemos a page.html , vemos que hay un script, si lo copiamos tal como está y cambiamos la dirección URL, podremos obtener el id_rsa, que es el archivo que está solicitando.
Como se puede apreciar hemos interceptado el tráfico con burpsuite, hemos cambiado la dirección ip para que me llegué a mi por el puerto 4444, lo recibimos en base64.
Una vez recibido, se podrá descodificar con base64 -d, obteniendo así la id_rsa.
Se procederá con la obtención del "passphrase" de la id_rsa, para ello se deben seguir los siguientes pasos:
Después de esperar unos 15 minutos parece ser que la contraseña no está en el rockyou, por ello vamos a generar un par de diccionarios para lograr obtener el passphrase .
Usaremos cewl para poder crear diccionarios con el contenido de la web:
Se le darán permisos 600 a la id_rsa, y para poder acceder por ssh utilizaremos la siguiente sintaxis:
User.txt
Root.txt
Como se puede apreciar se puede escalar privilegios por SUID en concreto Docker ya que no debería estar ahí.
Buscándolo en gtfobins, podremos escalar y obtener la bandera de root:
Última actualización