HackMyVM Flower — Linux

Para poder hacer uso de esta máquina primero debemos descargar el archivo y así poder desplegar el laboratorio.

Descargamos el archivo de la página https://hackmyvm.eu/machines/

Al momento de descargar esta máquina y descomprimir el archivo, en este caso observamos un archivo.

Para desplegar el laboratorio usaremos nuestro hipervisor favorito e iniciamos la máquina. En caso de no observar la IP de la máquina podemos emplear arp-scan para ver la dirección IP en nuestra red que sería la 192.168.0.110.

Realizamos un ping a la dirección IP y podemos validar que tenemos alcance.

Empezamos con un escaneo de puertos y podemos ver que solo tenemos el puerto 80.

Ingresamos la dirección IP en el navegador podemos ver que tenemos una lista con plantas y nos da la cantidad de hojas que tiene.

Realizamos un escaneo para ver si encontramos algún subdirectorio y podemos ver que tenemos uno llamado manual.

Nos dirigimos a ese subdirectorio y vemos que tenemos el servicio en la versión 2.4. Pero más a fondo no vemos algo que nos pueda llevar a obtener privilegios o ganar más información.

Volvemos a la primera página y esta vez interceptamos las consultas y podemos observar algo interesante.

Enviamos la petición desde la opción repeater y podemos observar que tenemos el texto en una de las listas.

Llevando a la página de CyberChef podemos observar que estaba en base64.

Enviamos un solo texto en base64, pero al enviarlo solo vemos el texto claro.

Probando algunos parámetros, vemos que con exec(whoami) sí nos da un resultado diferente.

Iniciamos nuestro listener.

Luego de ello preparamos nuestro comando para establecer conexión

Enviamos la petición y podemos observar que al enviar se queda en blanco lo cual es buena señal.

Al regresar a la consola podemos ver que ya tenemos acceso a la máquina.

Para facilitar las cosas en este punto migraremos la shell porque en este caso nos ocurre que no podemos hacer uso de las flechas o subir y bajar al comando anterior. Para ello primero hacemos

script /dev/null -c bash

luego un ctrl+z, regresaremos a nuestra consola seguido de ello ingresaremos los siguientes comandos para recuperar la shell usamos stty

stty raw -echo; fg
                reset xterm

para obtener más características usamos

export TERM=xterm

para la variable de entorno

echo $SHELL

y para pasar a bash usamos

export SHELL=/bin/bash

para establecer el tamaño adecuado de la consola ingresamos

stty rows 59 cols 236

de esta manera ya nos podemos mover con más libertad en la consola. Luego de ello realizamos un sudo -l y podemos ver que tenemos una manera de escalar como rose, pero está ejecutando el archivo de este usuario.

Listamos los permisos de este archivo, pero vemos que no podemos modificarlo solo leerlo. Pero si vemos los permisos de directorio si tenemos permisos así que sí podemos eliminarlo.

Reemplazamos el archivo con uno nuevo que nos genere una bash cuando lo ejecutemos.

Ejecutamos el archivo y ya estamos como rose.

Volvemos a realizar un sudo -l y podemos ver que tenemos ahora un archivo .plantbook que tiene permisos de ejecutarse como root.

Listamos para ver los permisos y podemos ver que nos pertenece así que sí podemos modificarlo para escalar.

Agregamos una línea para que nos genere una nueva bash y guardamos. Luego de ello ejecutamos el archivo y podemos observar que ya somos root. De esta manera culminando esta máquina.