Page cover

Valley

Para empezar vamos a hacer un escaneo de puertos abiertos en la maquina victima.

nmap -sCV -Pn --min-rate 3000 -vvv -n {IP_Victima} -o scan

Únicamente vemos los puertos 22 y 80 abiertos en la máquina victima.

Vamos a encontrar directorios y subdominios en el servidores web con la herramienta gobuster

gobuster dir -u http://{ULR} -w {Wordlist} -x {extensiones_de_ficheros}

Encontramos los siguientes directorios, me parece interesante el directorio de static, donde se alojan imagenes, por lo que hacemos una segunda busqueda de directorios en esta ruta

Comprobamos los diferentes directorios y encontramos que el /00 contiene un texto en el cual se encuentra una ruta, si accedemos a esta encontraremos un dormulario.

Si inspeccionamos el fichero dev.js del formulario nos encontramos con el usuario y contraseña que nos redirije a un fichero .txt

Leyendo el fichero .txt me doy cuenta que tiene que haber un puerto abirto con el servicio ftp por lo que hago de nuevo un nmap y sorpresaa

Vamos a loguearnos con las mismas credenciales en el servicio ftp

Nos descargamos los ficheros alojados en el servidor ftp con el comando get en busca de informacion.

Los ficheros son infromacion recogida de wireshark, por lo que vamos a inspeccionarlos con esta herramienta

wireshark {nombre_fichero}

En el fichero siemHTTP2.pcapng encontramos el usuario y la contraseña de un logueo en un formulario, vamos a probar estas credenciales para loguearnos en ssh

Conseguimos loguearnos en ssh y ya tenemos nuestra primera flag :)

Escalada de privilegios

En el directorio /home hay un fichero con el nombre valleyAutheticator, que es un validador del usuario valley, lo que haremos sera pasarnos este fichero a nuestra maquina atacante para despues inspeccionar el contenido a ver si encontramos la contraseña para el usuario valley

strings valleyAutheticator > valley.txt
cat valley.txt

Vamos a crackear el hash en la pagina crackstation para ver la contraseña

Y ya nos logueamos con el usuario valley

Si buscamos los archivos que tenemos permisos dentro del grupo de ValleyAdmin encontramos un script de python llamado base64.py

Si añadimos a este fichero siguiente comando, le estaremos dando permiso a valley para ejecutar una bash con permisos de root

os.system('chmod u+s /bin/bash')

Guardamos y ejecutamos el script:

python3 /photos/script/photosEncrypt.py

Ahora simplemente ejecutamos el comando /bin/bash -p y ya estaremos como root

Last updated

Was this helpful?