SecTalks: BNE0x03 - Simple

En esta entrada, vamos ha realizar un hackeo de la siguiente máquina de Vulnhub:

• SecTalks: BNE0x03 - Simple

Web Oficial: https://www.vulnhub.com/entry/sectalks-bne0x03-simple,141/

Descarga: https://github.com/sectalks/sectalks/tree/master/ctfs/BNE0x03


En la web oficial podemos ver las siguientes instrucciones:

Una vez que cargue la máquina virtual, trátela como una máquina que puede ver en la red, es decir, no tiene acceso físico a esta máquina. Por lo tanto, no se permiten trucos como editar el BIOS de la VM o la configuración de Grub. Solo se permiten ataques remotos./root/flag.txt es tu objetivo final.

Vamos a ello.

Realizo un nmap:









Solo tiene el puerto 80 abierto




















Pruebo credenciales por defecto: admin/admin, root/root, etc., y nada.


También pruebo con : -'/-' , ‘or ’1'='1

Inspecciono el código fuente y no veo nada raro:

Hago un escaneo con "dirb"




Pruebo con el directorio:
http://192.168.0.22/core/




No encuentro nada.

Otro: http://192.168.0.22/docs




Son artículos sobre PHP que tampoco tienen nada.

Seguimos:
http://192.168.0.22/skins/




Después de revisar todos los directorios y no encontrar nada vuelvo a la página inicial:




Como me da la opción de registrarme, voy a probar




Pongo la contraseña: D123456n

Una vez acepto el registro, estoy directamente dentro:








Se puede subir un archivo




Voy a intentar subir una shell.

Teniendo la versión de la web: "CuteNews 2.0.3", decido por mirar en BBDD de Exploit, a ver si me encuentro alguna.

Me encuentro con un Exploit adecuado a la versión:
https://www.exploit-db.com/exploits/37474/




Pasos indicados en el exploit:

1 - Registrarse como nuevo usuario


2 - Iniciar sesión


3 - Vaya a Opciones personales


4 - Seleccione Subir Avatar / Ejemplo: Evil.jpg


5 - Use los datos de sabotaje y cambie el nombre del archivo Evil.jpg a Evil.php

----------------------------- 2847913122899 \ r \ nContenido-Disposición: form-data; name = "avatar_file"; filename = "Evil.php" \ r \


6 - Su Shell: http://127.0.0.1/cutenews/uploads/avatar_Username_FileName.php

Ejemplo: http://127.0.0.1/cutenews/uploads/avatar_toxic_Evil.php



Ahora busco una shell en PHP

En pentestmonkey.net






Me descargo la que aquí observamos: ph-reverse-shell-1.0.tar.gz

Edito el texto y cambio los parámetros que me indica, que son la IP desde la que vamos a escuchar la comunicación (nuestro terminal de linux) y el puerto.



Una vez que ya lo tengo, guardo, y lo subo.




No me ha hecho falta cambiar la extensión, coge sin problema el .php

Guardo.

El siguiente paso, antes de ejecutar o comprobar la shell subida a la web, es poner en nuestro terminal de Linux o Kali, Netcat en escucha al puerto indicado.



Ahora sí, podemos ir al navegador, y poner la ruta a la que se sube el avatar del perfil de usuario, o lo que es lo mismo, la shell en PHP que hemos subido.

http://192.168.0.26/uploads/avatar_DANIEL_rshell.php

La escucha al puerto 5000 da sus frutos:



Estoy dentro.

WHOAMI / PWD



IFCONFIG




Ls –lah




Uname –a



Cat etc/passwd




Despúes de probar a entrar en los diferentes directorios, veo que no tengo acceso a ninguno, es un usuario muy limitado.

Intento hacer "sudo su", pero me encuentro ante un terminal sin TTY.

Ejecuto el comando de python: python -c 'import pty; pty.spawn("/bin/sh")'




Ya tengo un terminal con TTY

Intento hacer "sudo su" con claves por defecto (admin, root, vacio, etc.)

No consigo entrar.

Voy a ver si encuentro algún exploit para la versión del kernel o el sistema operativo.

El "uname –a" me devolvió:



V 3.16.0

Encuentro en la base de datos de exploit:
https://www.exploit-db.com/exploits/37292/




Como no consigo ser root, voy a intentar descargar mediante wget el exploit, pero en un directorio que me lo permita.

Mi opción /tmp




Se ven las letras de manera doble, no sé porqué, pero el terminal me las está doblando.




Busco como compilar en c









Soy root!!