HackMyVM Attack — Linux

Para poder hacer uso de esta máquina primero debemos descargar el archivo y así poder desplegar el laboratorio.

Descargamos el archivo de la página https://hackmyvm.eu/machines/

Al momento de descargar esta máquina y descomprimir el archivo, en este caso observamos un archivo.

Para desplegar el laboratorio usaremos nuestro hipervisor favorito e iniciamos la máquina. En caso de no observar la IP de la máquina podemos emplear arp-scan para ver la dirección IP en nuestra red que sería la 192.168.0.137.

Realizamos un ping a la dirección IP y podemos validar que tenemos alcance.

Empezamos con un escaneo de puertos y observamos que tenemos 3 puertos.

Al realizar un escaneo más profundo de los puertos identificados obtenemos la siguiente información.

Nos dirigimos al navegador e ingresamos la dirección IP con el directorio se puede observar que tenemos un mensaje que nos da el nombre de un archivo.

Como se trata de una captura en wireshark probaremos buscando con la extensión .pcap y vemos que sí obtenemos el archivo.

Abrimos el archivo y antes de realizar una búsqueda específica podemos observar que en la captura se ven tanto el password como el usuario.

Ingresamos esas credenciales y observamos que son correctas.

Listando los archivos podemos notar que tenemos 2 y los copiamos en nuestra máquina local.

Abrimos el archivo de texto así como la imagen, pero no vemos nada relevante.

Volviendo a revisar la captura de wireshark observamos que tenemos el nombre de otro archivo.

Ingresamos el nombre en el navegador y lo descargamos.

Descomprimimos el archivo y tenemos un archivo id_rsa.

Le damos permisos al archivo y luego probamos conectarnos por ssh con el usuario que ya tenemos, podemos acceder con éxito.

Revisando los archivos de usuarios podemos ver que tenemos la siguiente información.

Probamos ejecutando el script, pero no tenemos permisos.

Buscando archivos de usuarios y algunos permisos SUID no encontramos algo que nos sea de mucha utilidad.

Regresamos a nuestra captura de wireshark y podemos observar que siguiendo la secuencia tenemos lo que parece un png dentro del ZIP, pero este no lo obtuvimos en el ZIP que descargamos.

Copiamos todo el contenido de la trama.

En CyberChef pegamos este, seguimos la selección de la detección automática solo hasta donde nos muestra lo siguiente.

Luego le damos en la opción de guardar y veremos que lo identifica como zip y guardamos el archivo.

Descomprimimos el archivo ZIP y tenemos una imagen de un código QR.

Probamos con un lector de código aspose y nos muestra que se trata de una dirección.

http://localhost/jackobattack.txt

Descargamos el archivo y podemos observar que se trata de la llave de jackob.

Creamos el archivo, damos permisos e ingresamos como jackob con éxito.

Realizamos un sudo -l y podemos observar que podemos ejecutar el script que tenemos en nuestra carpeta como si fuera kratos.

Revisando el archivo vemos que no podemos editarlo directamente y loas cosas que realiza no nos aporta en nada.

Como no podemos editarlo lo que haremos es cambiarle el nombre y reemplazarlo por uno propio.

Luego de realizar el cambio y darle permisos de ejecución, al correr el script podemos ver que tenemos acceso como kratos.

Realizando nuevamente un sudo -l podemos ver que tenemos el binario cppw para ejecutarlo como root.

Revisando que es cppw y en resumen podemos decir que nos permite sobrescribir el archivo passwd.

Para poder escalar privilegios usando este binario, vamos a generar un hash con openssl.

Luego de ello creamos un archivo y pegamos la estructura de la nueva credencial con el hash.

gm4tsy:$6$/MsXCaO2O7dR9tch$1/txHNRApnv5KKV9NkfutlPw.CEe/2rlLwfusFilk76IiBqRkdxVgQmOEhS62E.TgWtcfCtXAI/FkYozSGR3k/:0:0:gm4tsy:/root:/bin/bash

Luego ejecutamos el binario con el archivo que creamos, ahora podemos ingresar como gm4tsy. Revisando los grupos, pertenecemos al grupo root y podemos ingresar a su carpeta. De esta manera culminamos esta máquina.