AguaDeMayo

Dificultad

Fecha

Origen

Fácil

20/08/2024

Dockerlabs.es

Escaneos

Comenzamos Analizando la red con Nmap para detectar las maquinas ubicadas en nuestra red y saber que puertos encontramos abiertos:

Nmap

Nmap (Network Mapper)

nmap 172.17.0.1/24

nmap --min-rate 5000 -p- -sV 172.17.0.2

Gobuster

Ahora que ya teníamos claro los servicios en la maquina y que se encontraba el puerto 80 abierto, aprovechamos de hacer un fuzzing del sitio con Gobuster:

Guía de uso para Gobuster

gobuster dir -u http://172.17.0.2/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

Revisión Sitio Web

Ya teniendo los resultados de Gobuster listos, procedemos a revisar en nuestro navegador la ruta http://172.17.0.2/ en donde nos encontraremos el siguiente sitio:

En la base del sitio no encontramos nada a la vista, así que le damos ver código fuente y revisamos hasta el fondo del código, en la línea 520 encontramos unos signos bastante raros:

Copiamos el código que encontramos en la línea 520 y lo llevamos a nuestro buscador:

El resultado de lo anterior nos da a entender que el código copiado corresponde a Brainfuck Languaje, que corresponde a un lenguaje de programación minimalista 🤯

para resolver lo que encontramos, iremos al Brainfuck Traslator https://md5decrypt.net/en/Brainfuck-translator/

Ya en el sitio pegaremos el código de Brainfuck y le daremos a Decode:

El resultado que nos de ahí, lo vamos a guardar:

Resultado

bebeaguaqueessano

Ahora Vamos a ir a revisar la carpeta images, la cual nos reveló Gobuster http://172.17.0.2/images/, en ella encontraremos esta imagen con nombre "agua_ssh.jpg". Adelanto que mi primera idea fue hacerle esteganografía, pero finalmente no devuelve nada, así que posteriormente intenté probar la conexión SSH.

Conexión SSH

ssh agua@172.17.0.2

Posteriormente pasamos la palabra que deciframos desde Brainfuck como clave:

Escala de Privilegios

Una vez ya conectados por SSH, procedemos a listar los comandos que el usuario actual tiene permitido ejecutar con privilegios de superusuario (sudo) con sudo -l

Ahora con esto en vista, ejecutaremos el siguiente comando:

sudo /usr/bin/bettercap

Nos aparecerá la consola de bettercap V2, en la cual si escribimos help, nos indicará que podemos ejecutar comandos anteponiendo el signo de exclamación !

Razón por lo cual haremos lo siguiente:

!chmod u+s /bin/bash

El comando chmod u+s /bin/bash establece el bit SUID (Set User ID) en el archivo /bin/bash. Esto significa que cuando se ejecuta el archivo, se ejecutará con los privilegios del propietario del archivo, en lugar de los privilegios del usuario que lo ejecuta.

Finalmente hacemos un whoami y veremos que somos root !Tachan¡ 🎆 🍺

Para finalizar le damos exit y en la consola de damos a bash -p para lanzar bash con privilegios