HackMyVM Hacked — Linux

Para poder hacer uso de esta máquina primero debemos descargar el archivo y así poder desplegar el laboratorio.

Descargamos el archivo de la página https://hackmyvm.eu/machines/

Al momento de descargar esta máquina y descomprimir el archivo, en este caso observamos un archivo.

Para desplegar el laboratorio usaremos nuestro hipervisor favorito e iniciamos la máquina. En caso de no observar la IP de la máquina podemos emplear arp-scan para ver la dirección IP en nuestra red que sería la 192.168.0.20.

Realizamos un ping a la dirección IP y podemos validar que tenemos alcance.

Empezamos con un escaneo de puertos y podemos ver que solo tenemos los puertos 22 y 80.

Empezamos realizando un escaneo más profundo de los puertos identificados, pero no vemos más información.

Vamos al navegador e ingresamos la dirección IP y solo podemos ver que tenemos un texto de que la página fue vulnerada.

Realizamos un escaneo de subdirectorios y podemos ver que nos encuentra el archivo robots.txt.

Dirigiéndonos a esa ruta vemos que contiene solo /secretnote.txt

En esa nueva ruta podemos ver que contiene una lista que son las etapas del Pentesting, así también podemos ver que resalta que está instalado un webshell y para root también.

Realizamos un nuevo escaneo con otra lista y tenemos un nuevo resultado, pero si vemos bien este parece redireccionarnos a la raíz.

Empleando un curl evitamos el redireccionamiento y vemos que nos da un mensaje.

Luego de ejecutar el listado podemos ver que el parámetro era secret.

Probamos el parámetro y vemos que sí podemos ejecutar comandos.

Ya que podemos ejecutar comando, iniciaremos nuestro listener.

Enviamos la revshell.

Regresamos a nuestro listener y podemos observar que ya establecimos conexión.

Para facilitar las cosas en este punto migraremos la shell porque en este caso nos ocurre que no podemos hacer uso de las flechas o subir y bajar al comando anterior. Para ello primero hacemos

script /dev/null -c bash

luego un ctrl+z, regresaremos a nuestra consola seguido de ello ingresaremos los siguientes comandos para recuperar la shell usamos stty

stty raw -echo; fg
                reset xterm

para obtener más características usamos

export TERM=xterm

para la variable de entorno

echo $SHELL

y para pasar a bash usamos

export SHELL=/bin/bash

para establecer el tamaño adecuado de la consola ingresamos

stty rows 59 cols 236

de esta manera ya nos podemos mover con más libertad en la consola. Revisando Capabilities, permisos SUID y no vemos nada interesante.

Revisaremos si hay algún proceso, para ello descargaremos pspy de nuestra máquina.

Descargamos el archivo, le damos permisos de ejecución y ejecutamos, pero no vemos nada interesante.

Buscando en las carpetas temporales podemos observar que en tmp hay uno oculto llamado hacked.

Verificamos los procesos para ver si observamos alguno inusual, pero no es así.

Recordamos que en el archivo secretnote indicaba que había creado un root shell.

Con esto en mente podemos suponer que debe tratarse de un rootkit.

Buscando más información encontramos el siguiente blog sobre Rootkits que explican más de ello. Listamos los módulos cargados del kernel, pero no vemos nada interesante.

Listando los módulos vemos que tenemos diamorphine que es un módulo del cual hablan en el blog.

Buscando acerca de este módulo encontramos el GitHub de este. Ya que entendemos que el módulo empleado para escalar privilegios por h4x0r fue ese. Podemos ver que en el GitHub nos indica como emplearlo para ser root una vez instalado.

Ingresamos el comando id solo y vemos los grupos a los que pertenecemos antes de ejecutar el comando.

Enviamos el comando y al volver a realizar un id observamos que nuestros grupos cambiaron a uno con permisos de root. De esta manera culminando esta máquina.