Autor: Noname
Dificultad: Fácil
Reconocimiento
Al iniciar la maquina podemos ver la dirección IP.
Una vez conocida la dirección, podemos hacer un escaneo más profundo.
Nos conectamos en el puerto 80 (HTTP) y tras inspeccionar el código de la página encontramos el siguiente comentario.
Una vez inspeccionada la página principal, hacemos una búsqueda de subdirectorios.
Nos dirigimos al directorio /MCP en el cual encontramos un fichero tron.txt
Con la herramienta “curl” podemos leerlo desde la terminal y vemos que es un texto en base64 lo que nos devuelve código Brainfuck. Si lo ejecutamos nos imprime el nombre del usuario con el que nos tendremos que conectar a la maquina.
Dentro de la carpeta /MCP hay otra llamada /terminalserver que contiene el archivo 30513.txt. Volvemos a utilizar “curl” para leer su contenido
Encontramos como descifrar el comentario de la página principal. Nos dirigimos a la página Cyberchef y con la operación de “substitute” lo desciframos.
Explotación
Una vez descifrada la contraseña podemos conectarnos al puerto 22 (SSH) con el usuario “player”.
Para una enumeración inicial utilizaremos “linpeas.sh”. Primero lo descargaremos con “wget” en el directorio /tmp.
$ cd /tmp
$ wget https://github.com/carlospolop/PEASS-ng/releases/latest/download/linpeas.sh
Después le damos permisos de ejecución.
$ chmod +x linpeas.sh
Una vez hecho esto ya podremos ejecutarlo.
Rápidamente veremos que tenemos permisos de escritura en /etc/passwd con lo que podremos escalar a “root”.
Generamos una nueva contraseña con “openssl” que después pegaremos en /etc/shadow sustituyendo la “x” de root.
Una vez guardado el fichero podemos cambiar al usuario root con la contraseña que hemos creado.
Y con este paso hemos terminado.
Muchas gracias a Noname por esta máquina.