TryHackMe — Mr Robot CTF

Seguimos con la serie de retos que nos presenta TryHackMe, ahora vemos el Mr Robot CTF.

En este reto nos dice que debemos conseguir 3 flags, al desplegar la VM empezamos con la etapa de reconocimiento.

Utilizamos NMAP

nmap -sC -sV -Pn xx.xx.xx.xx

En este caso tenemos pocos puertos abiertos 22, 80, 443, entonces nos enfocaremos en el servicio HTTP.

Seguiremos en la etapa de reconocimiento, buscaremos directorios y archivos comunes (robots.txt, password.txt , etc.), comentarios en el html, algo que nos sirva para encontrar alguno de los 3 flags.

En la búsqueda de directorios y archivos vemos esto:

En este caso solo revise las carpetas con el StatusCode 200, y tenemos un wordpress en la ruta “/0/” y también algo interesante en el archivo robots.txt.

Primer Flag.

Ahora que ya tenemos un flag, vamos en busca de otros flags, en la ruta /0/ tenemos un wordpress, donde podemos realizar diferentes pruebas para verificar si hay alguna vulnerabilidad y no.. no encontré nada xD.

Volví un paso atrás y volví a revisar los directorios y archivos encontrados, y olvide revisar el archivo “/license” donde me tope con algo interesante que nos ayuda a seguir en la búsqueda de los flags.

Usuario y contraseña para el portal de wordpress, no hagamos tan fácil la resolución asi que les dejare algo de trabajo :).

Ahora que ya tenemos acceso de administrador al wordpress, podemos ver la manera de subir una webshell o crear una bind/reverse shell depende el caso.

Después de una búsqueda larga y detallada, encontré un portal muy interesante donde demuestra como tener una reverse shell , entonces reutilizamos ese conocimiento.

https://www.hackingarticles.in/wordpress-reverse-shell/

Pagina 404.php donde agregamos una simple ejecución que realiza conexión reversa.

Nuestra shell pero aun queda mucho trabajo -_-

Ahora que ya tenemos acceso al servidor por una shell busquemos mas flags.

comand: find / -iname ‘key-* -type f’

Bueno después de pelear un momento con esto, tenia la contraseña del usuario robot, pero no encontré forma de cambiar de usuario por la shell, así que seguí buscando otras opciones.

Explotación.

La version de kernel era el 3.13.0–55, pero esto no me ayudo mucho, utilice algunos exploits para esto y ninguno con éxito.

Después de un momento pensé en los SUID , que en retos anteriores nos ayudo a elevar privilegios.

comando: find /bin -perm -u=s -type f

Podemos usar diferentes opciones para encontrar archivos con permisos SUID.

Revisando los diferentes comandos con los permisos, algunos me servían y otros no, una gran tarea para revisar uno por uno, después de un buen rato revisando me entere que nmap tiene un modo interactivo.

En este enlace podrán encontrar una lista de binarios que nos ayuda a escalar privilegios si tiene los permisos SUID.

Privilege Escalation - Penetration Testing Lab

Ahora que podemos ejecutar un binario con los permisos de root, vamos por los flags.

Un CTF muy interesante, donde aprendí cosas nuevas y lo mas importante que podre utilizarlo en diferentes escenarios del trabajo :).

Happy hacking.