Para poder hacer uso de esta máquina primero debemos descargar los archivos y así desplegarlo con Docker.
Descargamos el archivo de la página dockerlabs.es/#
Al momento de descargar esta máquina y descomprimir el archivo, en este caso observamos 2 archivos.
Para desplegar el laboratorio ejecutamos de la siguiente manera, así también podemos ver que nos indica la dirección que tendremos, así también el que hacer cuando terminemos este.
Realizamos un escaneo de la dirección IP y podemos observar que tenemos 2 puertos.
Nos dirigimos al navegador y podemos observar que se trata de la página default de apache2.
Realizamos un escaneo de directorios y podemos observar que encontramos uno llamado shop.
Ingresamos al directorio y podemos observar una página muy simple y con un texto que indica "Error de Sistema: ($_GET['archivo']");.
Realizamos un escaneo más profundo y podemos observar que el index es un php.
Ya que es un archivo PHP y tenemos la pista del error en la página, probamos realizando un LFI, ya que tenemos como pista el texto de archivo.
http://172.17.0.2/shop/index.php?archivo=../../../../etc/passwd
Revisamos por algunos logs, pero no encontramos alguno que nos sirva para realizar un log poisoning.
Revisando los usuarios podemos observar que tenemos 2 usuarios.
Probamos realizando un ataque de fuerza bruta probando con cada usuario y podemos observar que usando hydra identificamos un password.
manchi:lovely
Con las credenciales obtenidas nos conectamos exitosamente por ssh.
Realizamos un sudo -l, pero no podemos ejecutar sudo, si realizamos un listado de archivos no tenemos algún archivo interesante.
Realizamos un listado de permisos SUID, pero no hay uno que nos pueda ser de ayuda.
Buscamos más opciones, pero no encontramos alguna pista.
Por ello haremos un ataque de fuerza bruta. Primero descargaremos un archivo más pequeño del rockyou Probamos revisando si hay un curl o wget, pero podemos observar que no tenemos ninguno.
Por ello creamos el archivo con nano y pegamos el contenido.
Como tenemos el usuario sellercreamos un archivo con el siguiente contenido y le damos permisos de ejecución.
usuario="seller"
for password in $(cat minirockyou.txt); do
echo $password | su -c "exit" $usuario 2>/dev/null
if [ $? -eq 0 ]; then
echo "Encontrado: la contraseña de $usuario es $password"
break
fi
done
Ejecutamos el script y podemos observar que encontramos el password.
seller:qwerty
Ingresamos las credenciales y ya estamos dentro como seller.
Realizamos un sudo -l y podemos observar que podemos hacer uso del binario PHP para acceder como root.
Si revisamos la página GFTOBins podemos observar el cómo elevar privilegios.
Ingresamos el comando y podemos observar que obtuvimos root. De esta manera culminando con éxito esta máquina.
