TRYHACKME-KENOBI
INDICE
TASK I pag 2
TASK II pag 3-5
TASK III pag 6-9
TASK IV pag 10-11
CONCLUSION pag 12
TASK I
Escanee la máquina con nmap, ¿cuántos puertos hay abiertos?
R: 7
TASK II
Usando el comando nmap anterior, ¿cuántas acciones se han encontrado?
R: 3
Como podemos ver hemos encontrado 3 acciones : PC , anonymous y Print.
A continuación vamos a conectarnos al cliente de smb a través del cliente anonimo:
Tras conectarnos podemos ver al hacer un ls que dentro hay un archivo log.txt:
Una vez que esté conectado, enumere los archivos en el recurso compartido. ¿Cuál es el archivo que puedes ver?
R: log.txt
Nos descargamos el smb share a través del siguiente comando y dejando las credenciales en blanco:
Como podemos ver el archivo log se ha descargardo en la carpeta Downloads , le haremos un cat y :
¿En qué puerto se ejecuta FTP?
R: 21
A continuación mediante nmap escanearemos el puerto 111 que vimos antes que estaba abierto , y mediante un script podremos ver que hay montado en el:
R: /var/
TASK III
Ahora vamos a utilizar el netcat para ver que versión de proftpd esta corriendo en el:
¿Qué versión esta corriendo actualmente?
R: 1.3.5
Seguidamente vamos a correr la herramienta searchsploit para mirar en la base de datos de exploit-db.com para ver cuantos exploits hay relativos a esta versión de proftpd:
¿Cuántos exploits hay referentes a proftpd?
R: 4
Ahora utilizaremos el modulo mod_copy
El módulo mod_copy implementa los comandos SITE CPFR y SITE CPTO, que se pueden usar para copiar archivos/directorios de un lugar a otro en el servidor. Cualquier cliente no autenticado puede aprovechar estos comandos para copiar archivos desde cualquier parte del sistema de archivos a un destino elegido.
Sabiendo todo esto, la jugada será la siguiente :
Copiaremos la clave privada de kenobi al direcotrio var mediante los comandos SITE CPFR y SITE CPTO
Montaremos dicho directorio var en nuestra maquina
Y por ultimo nos copiaremos la clave privada de kenobi en nuestra maquina
Con todo esto ya podremos luego conectarnos por ftp autentificados como kenobi.
Traspaso de clave privada a directorio var:
Montamos el direcotrio /var/ en nuestra maquina:
Copiamos la clave privada del directorio var que hemos montado a nuestra maquina:
Y por ultimo nos conectamos por ssh al servidor ftp :
¿Cuál es el indicador de usuario de Kenobi (/home/kenobi/user.txt)?
R: d0b0f3f53b6caa532a83915e19224899
TASK IV
Una vez hemos accedido como kenobi listamos con el siguiente filtro de find:
¿Qué archivo parece particularmente fuera de lo común?
R: /usr/bin/menú
Ejecute el binario, ¿cuántas opciones aparecen?
R: 3
Si hacemos un string al binario vemos que aparece lo siguiente:
Esto quiere decir que el path del curl no esta especificado asi que lo que haremos será lo siguiente:
Vamos a aprovechar que este ejecutable se ejecuta como administrador para ejecutar nuestra propia Shell con permisos de root. Para ello primero meteremos el ejecutable bin/sh en una variable llamada curl.
Luego le daremos los permisos necesarios (777,todos)
Lo siguiente será exportar la ruta para que en vez de coger la ruta por defecto coja y ejecute nuestro bin/sh cuando ejecutemos el /usr/bin/menú:
Cual es la flag de root.txt
R: 177b3cd8562289f37382721c28381f02
CONCLUSION
Tras esta practica salgo reforzando mis skills en Linux que de momento no son demasiado buenas. Por ejemplo he vuelto a refrescar como montar una unidad mediante smb. Aunque lo mas interesante que he visto esta practica ha sido el apartado final de como mediante un binario con permisos de root como poder cambiarle el path para que coja otro binario diferente , es decir ejecutar el binario que quieras dentro de otro si se cumplen las condiciones.
