ICA: 1

Sobre esta maquina: VulnHub

Sistema Operativo: Linux

Skills Usados:

  • Reconfiguring machine interfaces for correct IP assignment via dhcp [Small bypass to circumvent the password]

  • Abusing qdPM 9.2 - Password Exposure (Unauthenticated)

  • Remote connection to the MYSQL service and obtaining user credentials

  • SSH brute force with Hydra

  • Abusing relative paths in a SUID binary - Path Hijacking [Privilege Escalation]

Metodologia:

Hacemos el primer reconocimiento con nmap:

// 
❯ nmap -T4 -sS -Pn -n -p- --open 192.168.1.141 -oN FirstScan

Starting Nmap 7.94SVN ( https://nmap.org ) at 2025-04-30 16:18 EDT
Nmap scan report for 192.168.1.141
Host is up (0.00084s latency).
Not shown: 65531 closed tcp ports (reset)
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
3306/tcp open mysql
33060/tcp open mysqlx
MAC Address: 00:0C:29:03:0F:2F (VMware)

Hacemos un escaneo detallado de los puertos abiertos:

Vemos lo que corre en el puerto 80 (captura):

Vemos que es un servicio web de qdPM en version 9.2 , revisamos si hay alguna vulnerabilidad asociada en searchsploit:

Lo intentamos y se nos descarga.

Revisamos el documento yml:

Nos entrega usuario y credenciales de lo que parece ser el SQL server, intentamos ingresar:

Las passwords estan en base 64, asi que crearemos un listado de usuarios y de passwords en texto claro:

Decodificamos base64 y lo almacenamos en un archivo users y passwords.

Intentaremos con Hydra hacer un ataque de fuerza bruta para conectarnos por ssh, utilizando las credenciales obtenidas:

Ingresamos por ssh con el usuario Travis:

Nos convertimos en Dexter ahora:

Básicamente la nota nos indica que debemos explotar un SUID:

La ruta /opt/get_access parece ser una buena pista:

Listamos las strings.

Podemos aprovecharnos de que esta ejecutando Cat para hacer un pathhijacking, vamos a los archivos temporales del sistema y nos creamos nuestro propio cat para despues darle permisos de ejecucion, y cambiar el path para que se ejecute primero por la ruta TMP:

Modificamos la funcionalidad de nuestro CAT:

Ejecutamos el proceso SUID y ya somos ROOT:

Volvemos el PATH a la normalidad para que nos deje observar la ultima flag:

Y asi dariamos por finalizada esta maquina.

PreviousSymfonos 2NextCorrosion 2

Last updated