Overpass

Contenido

Vamos a comenzar haciendo un nmap:

Con esto vemos que tenemos un puerto de ssh abierto y un puerto http en el 80 , vamos a acceder.

Y nos encontramos con la siguiente web , vamos a pasarle el gobuster a ver que directorios tenemos:

Y parece que tenemos varios directorios , vamos a acceder a /admin:

Y parece que tenemos un panel de credenciales , si accedemos a su código fuente:

Nos llama la atención el /login.js.

Vamos a ver que código encontramos:

Y en las ultimas líneas encontramos esto , que en realidad es una de las vulnerabilidades de OWASP top 10 , ya que si donde pone statusOrCookie , lo dejamos en blanco con “” , podemos acceder a la web sin necesidad de encontrar las credenciales. Para ello vamos a ejecutar el siguiente comando:

Y tras esto al ejecutarlo obtenemos la web:

Y vemos que tenemos la clave privada ssh , vamos a desencriptarla:

Primero creamos un archivo y le metemos dentro la clave privada. Luego accederemos a la siguiente web de github

Para descargarnos un script en py llamado ss2john.py , y ejecutamos el siguiente comando:

Y lo almacenamos el resultado en el siguiente archivo:

Por ultimo lo desencriptamos con John the ripper , lo que ha hecho el script anterior es conseguir la contraseña encriptada a partir de la clave privada. El siguiente paso es con esa contraseña cifrada , descifrarla con John:

Y con esto ya tendríamos la contraseña de james de ssh , vamos a conectarnos:

Aquí lo que estamos haciendo es conectarnos por ssh con el usuario james , además mediante una clave que se especifica con el –i , y que hay dentro de id_rsa pues la clave privada , cuya passphrase es “james13” que encontramos antes.

Y ya tenemos la primera flag.

Es hora de escalar nuestros privilegios , dentro del mismo directorio donde encontramos la flag , vemos lo siguiente :

Vamos a ver el código fuente:

Aquí podemos ver que las credenciales están en .overpass , pero parecen encriptadas:

Pero vemos mas código interesante en el código fuente:

Parece que están utilizando un rot47 , vamos a descifrarlo con cyberchef:

Tras esto vamos a seguir mirando el archivo crontabs:

Como podemos ver esta haciendo una petición curl a “overpass.thm/downloads/src/buildscript.sh” con permisos de root. Y le envía un bash , vamos a ver el archivo hosts:

Vemos como esta el host overpass.thm , si modificamos la ip y le ponemos la nuestra se redigira a nuestra maquina en ese directorio , vamos a crear un script con el mismo nombre pero que nos genere una reverse Shell:

Aquí creamos el reverse Shell y lo pasamos a un listener de netcat en otro terminal , asi cuando se ejecute que es cada minuto , mandara el bash a nuestro listener y tendremos acceso como root:

Y ya tenemos la flag final.