xpl0itm4ster
TheHackerLabs - Goiko

TheHackerLabs - Goiko

xpl0itm4ster's photo
xpl0itm4ster
·

2 min read

Enlace

https://thehackerslabs.com/goiko/

Escaneo

Enumeración:

FTP

SSH

Usando el usuario obtenido por la enumeracion del servicio FTP procedo a realizar fuerza bruta con hydra

hydra -l gurpreet -P wordlists/rockyou.txt ftp://192.168.1.105:10021 -I -t 10

encontrando estas credenciales login: gurpreet password: babygirl

ya dentro del sistema revisemos el usuario gurpreet

archivo .mysql_history

Ejecutare linpeas para enumerar todo el sistema e identificar posibles vectores para realizar escalado de privilegios, pero debido a las restricciones que tiene mi laboratorio solo mi host con kali tiene acceso a internet ya que es una red aislada, por lo tanto me descargue el script de github (https://github.com/peass-ng/PEASS-ng/tree/master/linPEAS), activare un servidor http simple y lo transferiré al host objetivo

dándole los permisos al script

revisión de resultados del script linpeas.sh

usuarios detectados

vemos una instancia de mariadb en un puerto sin exponer

directorios de interés

accedo a Mariadb con las credenciales del usuario gurpreet

en la tabla secta encontramos otras credenciales

carline: 703ff9a12582b2aaaa3fe7f89bb976c8 (md5) lucymylove

nika: c6f606a6b6a30cbaa428131d4c074787

ya que tengo acceso de lectura a los perfiles de los otros usuarios procedemos a enumerar su contenido

Usuario Camarero

encontramos unas credenciales marmai:EspabilaSantiaga69

Usuario Marmai

copio este archivo a mi local para análisis

Procedo a intentar descomprimir el archivo usando john para crackear la clave

esto fue exitoso y muestra dos archivos una clave privada y una lista de usuarios

el archivo id_rsa estaba protegido por una frase

vemos que la clave privada es de un usuario conocido, lo descartamos.

Probamos el usuario nika, en la base de datos encontramos una clave lucymylove y otro hash que en teoría es del usuario nika pero no pudo ser crackeado, intento con la misma clave encontrada y para mi sorpresa la clave funciona.

Ejecutando linpeas con el usuario nika

vemos que este archivo se puede ejecutar con permisos administrativos gracias a NOPASSWD, luego de investigar esto se puede aprovechar de la siguiente manera

  • Creamos un archivo de nombre find con un comando para llamar a /bin/bash.

  • Le damos permisos para ejecutar.

  • Al ejecutar el script modificamos el path del sistema para agregar el ejecutable find falso para que busque primero en ese directorio.

    Tenemos acceso a root!

thehackerslabsCTF Writeup