Autor: WWFYMN
Dificultad: Fácil
Reconocimiento
Con “arp-scan -l” encontramos la ip de la máquina:
Una vez conocida la dirección ip , podemos hacer un escaneo mas profundo para obtener mas información.
Comenzamos viendo que hay en el puerto 21. Podemos iniciar sesion como “anonymous”.
Dentro de la carpeta first encontramos una imágen
Usamos “stegseek” para comprobar si tiene algún archivo incrustado.
Obtenemos un archivo con un texto en base64. Podemos usar cyberchef para decodificarlo.
Y lo volvemos a usar con el texto en hexadecimal.
Obtenemos un directorio.
Encontramos en este directorio un archivo php que nos permite subir otros ficheros al servidor
Explotación
Creamos un “listener” y subimos la shell inversa en upload.php. Podremos ejecutarla desde el directorio uploads.
Ya estamos dentro de la máquina.
Escalado de privilegios
Podemos ejecutar “neofetch” como el usuario “first”.
Para obtener shell como first usaremos el siguiente archivo como configuracion de neofetch.
/tmp/bash :
Ejecutamos el comando con la configuracion dada.
Yo he creado una clave id_rsa para poder conectarme por ssh para trabajar mas cómodo.
Como podemos ver, podemos ejecutar secret como usuario root.
Envío el binario a mi maquina kali para poder leerlo con ghidra.
Vemos que podemos sobreescribir la variable local_c mediante un “bufferoverflow”.
Otra vez en la máquina first ejecutamos secret y le pasamos una entrada de mas de 10 caracteres
Ejecutamos bash y ya tenemos root shell.
Muchas gracias a WWFYMN por esta máquina.