Cyber
TryHackMe
TryHackMe
  • crack the hash
  • Juice Shop
  • MrRobot CTF
  • Ninja Skills
  • Basic Pen Testing
  • bank_ctf
  • blaster
  • OWASP TOP 10
  • eternalblue
  • ice
  • easypeasy
  • pentesting completo
  • kenobi
  • Overpass
  • OWASP ZAP
  • Post Explotacion
  • Relevant
  • RootCTF
  • Stealth
  • Uso de SILK
  • Wreath
  • Clocky
  • Wifi Hacking 101
  • SQLMap
  • Kitty
  • Opacity
  • Bricks Heist
  • Carnage
  • Snort
  • Daily Bugle
  • Creative
  • CyberLens
  • Insecure Deserialisation
Powered by GitBook
On this page

Opacity

PreviousKittyNextBricks Heist

Last updated 1 year ago

Vamos a comenzar haciendo el tipico nmap y gobuster:

Vamos a comenzar accediendo al directorio cloud:

Vemos que es un uploader de archivos , vamos a probar a subir un shell de php pero en vez de subirlo de forma normal vamos a añadirle al final "#.png" para que crea que se esta subiendo una foto:

Y vemos como ya tenemos la shell , luego podemos upgradear la shell con este comando:

python3 -c 'import pty; pty.spawn("/bin/bash")'

Tras bichear un poco vemos como nos encontramos en el directorio /opt con un archivo .kbdx este tipo de archivos pertenecen a keepass.Vamos a tratar de traernoslo a nuestra maquina:

Y como podemos comprobar ya tenemos el archivo:

El siguiente paso sera formatearlo para romperlo con el john:

Con esto ya solo nos falta crackearlo con john:

Ahora que ya tenemos la contraseña de la base de datos es necesario descargarnos el software de keepass para abrir el dataset.kdbx y poner la contraseña del john y asi ver la contraseña del usuario syadmin:

Por ultimo nos conectamos por ssh y vemos la flag:

Ahora para la escalada de privilegios vamos a ver el script que esta dentro:

Vamos a mirar ese otro script:

wget

Y tras unos minutos:

Parece que encontramos un directorio llamado /cloud
Antes hay que setear un listener y una vez hecho esto le damos a subir
Primero en nuestra maquina seteamos un listener con el nombre que queremos que tenga el archivo
Luego en la maquina objetivo mandamos el archivo a traves de nc al puerto 9999
keepass2john
john keepass
y aqui tenemos la pass
keepassxc
Aqui estamos abriendo dataset.kdbx
Y aqui ya viendo la pass que esta dentro
Parece que tiene que ver con otro script llamado backup.inc.php
Si intentamos modificarlo vemos como no tenemos permisos.
Pero si miramos los permisos de la carpeta lib parece que si tenemos permisos, y si subimos una webshell pero con el nombre del script anterior?
Primero modificamos el archivo de la shell a un nuevo , puerto y luego lanzamos un servidor http de python
Luego en la maquina objetivo nos descargamos el shell pero ya con el nombre que debe tener mediante el comando wget
Y aqui la prueba , una vez hecho esto acordarse de setear el listener en nuestra maquina en el puerto 7777
ya somos root y hemos visto la flag final