Responsive image

HackMyVM - Brain

1 junio 2021

Esta máquina se encuentra en la plataforma HackMyVM y ha sido creada por el usuario d4t4s3c.

Es una máquina poco realista en el acceso pero muy original y entretenida en la escalada de privilegios.

# Dificultad
Acceso Fácil
Escalada de privilegios Fácil-Medio

Enumeración


La enumeración comienza detectando la dirección IP de la máquina. Para ello se utiliza la herramienta arp-scan, hay que tener en cuenta que la máquina víctima debe estar en la misma red que la máquina del atacante.

error loading image :(

La herramienta ha detectado 4 IP:

Una vez identificada la máquina objetivo se realiza el escaneo de puetos como es usual. Primero un escaneo rápido y posteriormente un escaneo más profundo para detectar los servidos que corren en los puertos abiertos.

error loading image :(

error loading image :(

El escaneo ha encontrado dos puertos abiertos el de HTTP y el de SSH. A continuación se utiliza whatweb para desvelar más del servicio HTTP

error loading image :(

Según ha desvelado whatweb, el servicio HTTP es la página por defecto de Apache httpd. Probablemente exista algún directorio oculto por lo que se procede a hacer fuzzing con la herramienta wfuzz con el diccionario "medium" de dirbuster para encontrarlos.

error loading image :(

Se ha encontrado un nuevo directorio llamado "brainstorm".

error loading image :(

Se vuelve a hacer fuzzing en este directorio utilizando los diccionarios common y extension_common de wfuzz.

error loading image :(

Se ha encontrado un nuevo recurso, file.php. Según el nombre del recurso se piensa que puede tratarse de un archivo para mostrar archivo del sistema, es decir, un LFI. Se prueba con distintos parámetros en la URL hasta encontrar el que permite el LFI.

error loading image :(

Conseguir acceso


En un primer momento se pensó por un log poisoning pero al no avanzar por esta vía se cambió la táctica a buscar credenciales en archivos de configuración y otros archivos del sistema. Tras un buen rato de búsqueda se encuentran las credenciales salomon:MyBr4iN al consultar los procesos en ejecución del sistema (/proc/sched_debug).

error loading image :(

Se utilizan estas credenciales para acceder al sistema a través del servicio SSH.

error loading image :(

Siendo usuario en la máquina ya puede consultarse la flag de user.

error loading image :(

Escalada de privilegios.


Después de no detectar una vía sencilla de escalar privilegios consultado los permisos del usuario salomon se hace una consulta de los puertos abiertos internamente en la máquina detectando un servicio TCP en el puerto 65000.

error loading image :(

Al ser un servicio TCP puede utilizarse telnet para conectarse y realizar un banner-grabbing para detectar el servicio que está corriendo.

error loading image :(

Gracias al banner grabbing se detecta que es un servicio HTTP. Por lo que utilizando telnet otra vez se contruye una petición GET básica y se envía.

error loading image :(

La respuesta del servidor a la petición GET contiene lo que parece ser un hash SHA512. Pero para comprobarlo se utiliza la herramienta hash-id.

error loading image :(

Al tratarse de un hash sin salt puede romperse fácilmente desde crackstation.

error loading image :(

El resultado del crackeo es utilizado como contraseña para convertirse en root y recuperar la flag de root.

error loading image :(