Irked
Última actualización
¿Te fue útil?
Última actualización
¿Te fue útil?
Nombre de la máquina:
IP de la máquina:
10.10.10.117
Sistema simulado:
Debian
Servicio vulnerado:
UnrealIRCd
CVEs:
Comenzamos la fase de enumeración de la máquina Irked realizando una petición mediante nmap a la IP desplegada buscando la información necesaria para comenzar. Comenzamos:
Nos percatamos de que en el puerto 22 existe un servicio OpenSSH 6.7 al cual hecharemos un vistazo más adelante. Ahora revisaremos el http de la máquina, en el cual nos aparece el mensaje "IRC is almost working".
Seguiremos la pista del IRC y buscaremos si existe un servicio IRC en la máquina el cual no esté en un puerto común. Para ello pediremos a NMAP que busque en todos los puertos de la máquina, para ello usaremos el tag -p-:
En este punto encontramos varios servicios UnrealIRCd de IRC e incluso un email.
En este punto vamos a comenzar a buscar información sobre el servicio UnrealIRCd y las vulnerabilidades conocidas en el servicio.
Llegado este punto ejecutaremos el script apuntando a la IP los puertos con el servicio IRC depslegado para averiguar cual de ellos es vulnerable.
En este punto ejecutaremos el backdoor y lo redirigiremos hacia el netcat que tenemos levantado en el puerto 4444 en nuestro caso.
Esperaremos unos segundos tras ejecutar el comando hasta que nuestro Netcat reciba la conexión correctamente.
En este punto ya tendremos una shell abierta en nuestra máquina con el usuario ircd de la máquina Irked. Realizaremos un tratamiento de la TTY con Python mediante:
El usuario carece de permisos para poder visualizar la flag de user por lo que tendremos que intentar conseguir otro usuario u método de acceso a la flag y posteriormente acceso a root para finalizar la máquina.
En este punto revisamos los diferentes directorios hasta encontrarnos un fichero backup oculto en la carpeta documents el cual parece tener una contraseña.
El problema es ¿Donde usamos esta contraseña? ya que cuando intentamos acceder a djmardov con ella no nos lo permite... Tras investigar un rato caemos.... La imagen que vimos en el HTTP con un emoji puede que contenga algo de información... Es por ello que vamos a realizar una análisis para ver si hay algo oculto.
Al introducir la contraseña nos informa de que existe un archivo llamado pass.txt. Es por ello que ejecutaremos steghide extract -sf irked.jpg y extraeremos el archivo pass en el cual se incluirá la contraseña con la que podremos acceder a djmardov y visualizar la flag del usuario.
Llegado este punto nos toca buscar una manera de hacernos con el usuario Root y ganar acceso total a la máquina. Encontramos un binario llamado viewuser el cual puede servirnos para generar la escalada.
Al ejecutar la aplicación viewuser nos aparecerá el siguiente mensaje sobre la aplicaciçon la cual está buscando el fichero en /tmp/listusers.
Nos aprovecharemos de que este servicio está corriendo constantemente mediante root para volcar en el archivo la generación de una bash.
Después deberemos de aprovecharnos del usuario djmardov para dar algunos permisos al fichero generado.
Una vez realizado esto deberemos ejecutar viewuser, teniendo un netcat abierto a la escucha en el puerto que hayamos configurado, y con ello tendremos acceso como root a la máquina y podremos ver la flag.
Son algunos de los métodos que tenemos para acceder a esta máquina, aunque nosotros utilizaremos un script de nmap para ganar acceso a la misma. El script que hemos encontrado se encuentra documentad en la y explica como debemos usarlo así como nos facilita el del mismo. Para desplegarlo recuerda guardar el script en la ruta /usr/share/nmap/scripts y que tenga la extensión .nse .
Si te he ayudado sígueme y apóyame en
