Enumeración

NMAP

Comenzamos realizando una enumeración rápida de los servicios disponibles.

 nmap -p- --open --min-rate 500 -Pn -n -vvv 192.168.93.130

Dos servicios abiertos, puerto 21 y 61000. Seguimos con un escaneo profundo de estos puertos .

nmap -p21,61000 -sVC -Pn -n -vvv 192.168.93.130 

Dos puertos abiertos:

• Puerto 21 -> FTP -> vsftpd 3.0.3

• Puerto 1337 -> SSH -> OpenSSH 7.9

Además podemos iniciar sesión de manera anónima en el servicio FTP.

Puerto 21 (FTP)

Podemos iniciar sesión de forma anónima. Cuando iniciemos sesión, enumeraremos los archivos ocultos con el comando ls -la.

Hay un directorio ".hannah". Dentro podemos encontrar un "id_rsa". Descargamos este archivo en nuestra máquina de ataque.

Es una clave id_rsa para inicio de sesión en SSH. Recordamos que había un servicio SSH activo en el puerto 61000.

Explotación

Vamos a cambiar los permisos de este archivo para poder utilziarlo.

 chmod 600 id_rsa

E intentamos iniciar sesión en SSH con la clave id_rsa y el nombre de usuario del directorio donde hemos encontrado la clave.

ssh -p 61000 -i id_rsa [email protected] 

Ya tenemos conexión con la máquina objetivo. Ahora a por la flag local.txt

Elevación de privilegios

Vamos a comenzar realizando diversas enumeraciones que nos pueden aportar información de como elevar privilegios.

Comenzamos enumerando binarios SUID.

find / -perm -u=s -type f 2>/dev/null

Consultamos GTFOBins para buscar información acerca de como elevar privilegios aprovechando el binario "cpulimit".

Ejecutamos.

/usr/bin/cpulimit -l 100 -f -- /bin/sh -p

Y ya tendremos acceso a la máquina con privilegios máximos. Ahora a buscar la flag proof.txt.

Y ya tendríamos acabada la máquina OnSystemShelldredd.