# Dawn

### Enumeración #### Servicios abiertos Comenzamos realizando un escaneo rápido de los servicios que tiene abiertos está máquina. ``` nmap -p- --open --min-rate 5000 -Pn -n -vvv 192.168.139.11 ```

4 puertos abiertos. Vamos a realizar el escaneo profundo de estos servicios. ``` nmap -p80,139,445,3306 -sVC -vvv 192.168.139.11 ```

Servicios abiertos: * Puerto 80 -> HTTP -> Apache httpd 2.4.38 * Puerto 139 -> SMB -> smbd 3.X - 4.X * Puerto 445 -> SMB -> smbd 4.9.5 * Puerto 3306 -> MySQL -> MySQL 5.5.5-10.3.15-MariaDB #### Enumeración Web Comenzamos viendo el contenido del puerto 80 en el navegador Web.

No contiene información interesante. Si abrimos el código fuente del sitio Web, támpoco hay información relevante. Seguimos con la enumeración de directorios. ``` dirsearch -u "http://192.168.139.11/" -i200,301 ```

Tenemos un directorio /logs.

Vemos diversos archivos logs. De los 4 archivos solo tenemos permisos para ver el archivo "management.log". Abrimos el archivo.

Tenemos un archivo de logs. Vemos algunas ejecuciones de archivos que pueden ser interesantes pero de momento, nada concluyente. #### SMB (puerto 139 y 445) Vamos a comenzar la enumeración de SMB con enum4linux. ``` enum4linux 192.168.139.11 ```

Tenemos un posible directorio al que podemos acceder para ver su contenido.

Y el nombre de dos usuarios de sistema. Vamos a ver el contenido del directorio /ITDEPT. ``` smbmap -H 192.168.139.11 ```

En el directorio /ITDEPT, podemos hacer tareas de lectura y escritura. ``` smbclient \\\\192.168.139.11\\ITDEPT ```

El directorio no contiene ningún archivo ni directorio. Pero podemos aprovechar que podemos escribir en el directorio para cargar archivos maliciosos en el sistema. Volvemos al archivo log que descargamos del sitio Web y vemos dos archivos que deberían estar ejecutándose en el directorio /ITDEPT pero que como vimos, no se encuentran en este directorio. ### Explotación ¿Y si pudiésemos crear estos archivos para cargar una Shell maliciosa en el sistema? Vamos a ello.

Cargamos los dos archivos creados en el equipo objetivo a través utilizando los permisos de escritura que disponemos. Al mismo tiempo, colocamos dos oyentes nc en los puertos 1337 y 4444.

Transcurrido 1 minuto, tendremos dos Shells reversas.

Buscamos la flag de usuario de bajos privilegios.

### Elevación de privilegios #### Elevación de privilegios desde www-data Comenzamos realizando las enumeraciones básicas para la búsqueda de puntos que nos permitan elevar privilegios. Comenzamos comprobando permisos de sudo en la terminal de www-data.

Nos permite ejecutar sudo sin contraseña. Vamos a intentar explotar esto.

Ya tendremos un usuario con privilegios elevados. Buscamos la flag de usuario con privilegios elevados.

#### Elevación de privilegios desde el usuario "dawn"

Pero...

Necesitamos una password. Vamos a continuar enumerando los binarios SUID. ``` find / -perm -u=s -type f 2>/dev/null ```

El binario zsh puede ser interesante. Vamos a ver si es útil para elevar privilegios. Consultamos [GTFOBins](https://gtfobins.github.io/gtfobins/zsh/#suid).

Solo quedaría volver a buscar la flag proof.txt

Y ya estaría acabado el CTF Dawn de la plataforma Proving Grounds. {% embed url="" %} --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://wiki.securiters.com/securiters-wiki/write-ups/proving-grounds/dawn.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.