Para poder hacer uso de esta máquina primero debemos descargar los archivos y así desplegarlo con Docker.
Descargamos el archivo de la página dockerlabs.es/#
Al momento de descargar esta máquina y descomprimir el archivo, en este caso observamos 2 archivos.
Para desplegar el laboratorio ejecutamos de la siguiente manera, así también podemos ver que nos indica la dirección que tendremos, así también el que hacer cuando terminemos este.
Realizamos un escaneo de los puertos de la dirección IP y podemos observar que identificamos 2 puertos.
Ingresamos al navegador e ingresamos la dirección IP y podemos observar que es un login.
Buscamos los directorios y encontramos 2 páginas adicionales que si entramos son bastantes curiosas.
En page.php podemos observar una de consulta de clima.
Y la de auth.php es el autenticado del login y podemos observar que se refleja el error.
Probamos ingresando una inyección SQL básica y podemos observar que nos redirigía a la página page.php a la que ingresamos antes.
Ingresamos diferentes valores nos da diferentes resultados
Si ingresamos un número nos da un error.
Ya que no podemos obtener más información, pero sabiendo que el login es vulnerable a inyecciones SQL usaremos burpsuite para interceptar y probar. Interceptamos la petición de login y probamos.
Haciendo un ordenamiento de filas damos con que tiene 3 filas Pero el problema que tenemos es no tener nada reflejado, por lo que si hacerlo de manera manual sería haciéndolo por medio de una inyección SQL a ciegas, pero tomaría demasiado tiempo por eso usaremos sqlmap.
Como ya estamos en burpsuite copiamos el request que capturamos y lo guardamos en un archivo txt y realizamos la consulta.
Después de unos segundos podemos observar que obtuvimos unos usuarios y un password.
Probamos las credenciales en SSH, pero ninguna es válida. Intentamos loguearnos en la web, pero ninguna nos lleva a alguna página extra así que suponemos que no es por ahí.
Leyendo bien los usuarios hay uno que se llama directorio y el password es directoriotravieso, por lo cual agregamos el password a la dirección web y podemos observar que tenemos una imagen con un nombre llamativo.
Al abrir la imagen solo se trata de unos ojos.
Descargamos la imagen y ya podemos imaginar que tiene un archivo dentro, intentamos usar steghide, pero parece tener un password.
Hacemos uso de stegcracker y podemos observar que el password es chocolate.
Usamos las credenciales y dentro tenía un archivo .zip.
Al momento de descomprimir observamos que este también tiene un password.
Para romper este archivo usaremos zip2john para extraer el hash, luego usar john para obtener el password y siguiendo estos pasos observamos que el password es stupid1.
Descomprimimos el archivo y tiene otro archivo de texto llamado secret.txt y contiene un password.
carlos:carlitos
Usamos esas credenciales para conectarnos por SSH y podemos observar que ya estamos dentro.
Realizamos un sudo -l, pero no podemos ejecutar comandos sudo.
Realizamos la búsqueda de permisos SUID y se observa que tenemos al binario find.
Buscando en la página de GFTOBins podemos observar como elevar privilegios abusando de este binario.
Ingresamos el comando y podemos observar que obtuvimos root. De esta manera culminando esta máquina.
