Kiba – TryHackMe Write-Up

Kiba – TryHackMe Write-Up

Hoy toca resolver la máquina Kiba de TryHackMe en ella, a través de un Kibana podremos establecer un primer acceso al sistema y, gracias al abuso de una capabilitie del binario Python, podremos escalar privilegios al usuario root.

Ip de la máquina en mi caso: 10.10.119.108

Dificultad asignada por la plataforma: Fácil

Reconocimiento

Como siempre, lo primero es lanzar el rec0ldd para que detecte de forma rápida los puertos abiertos analizando los 65535 puertos disponibles:

clear ya funciona

Escaneo con rec0ldd

Vemos que tenemos los puestos 22, 80, 5044 y 5601 abiertos, ahora con nmap haremos un escaneo más profundo para obtener más información:

nmap -sC -sV -T4 -p22,80,5044,5601 10.10.119.108 -oN puertosAbiertos
clear ya funciona

Escaneo con nmap

Contamos un SSH, un apache y lo que parece ser un Kibana, revisando el servicio web del puerto 80 podemos ver lo que es posiblemente una pista para la escalada de privilegios:

clear ya funciona

Página principal del servidor web

Ahora bien, en el puerto 5601 también hay otro servicio web, en este caso el dichoso Kibana:

clear ya funciona

Dashboard de Kibana

Explotación

Investigando un poco he dado con este repo de github que tiene un exploit para esta tecnología, me he descargado el exploit, para ejecutarlo debemos enviarle cierta información:

clear ya funciona

Uso de exploit 

Nos pide la url, nuestra ip, el puerto y el parámetro –shell para entablar la conexión, así que primero ponemos un oyente de netcat a la escucha por el puerto 65534 para usar un puerto pequeño, evidentemente y, seguidamente ejecutamos el exploit, al hacerlo, ¡estamos dentro!:

clear ya funciona

Primer acceso al sistema

Luego de esto, hacemos un tratamiento de la tty y en este punto ya podemos obtener la primera flag.

Escalación de privilegios

Ahora bien, debemos escalar privilegios a root, si recuerdas había una pista en el servidor web, nos decía algo sobre las capabilities, así que hagamos una búsqueda rápida usando:

getcap -r / 2>/dev/null
clear ya funciona

Búsqueda de capabilities

Vemos que, si tenemos un binario de python en el directorio personal de kiba y que cuenta con una capabilitie con setuid, en este caso, gracias a esta vulnerabilidad, la idea es que podemos cambiar nuestro uid en la ejecución de este binario de python3, entonces, partiendo de esto, la escalación es bastante lógica, ejecutamos dicho binario > importamos el módulo os > cambiamos la uid a 0 (que es el valor de uid de root) y nos ponemos una bash, entonces:

gobuster dir -u http://<ip>:8080/oscommerce-2.3.4/catalog/ -w /usr/share/wordlists/dirb/big.txt
clear ya funciona

Acceso como root 

Y ya estaría completada la máquina y por supuesto, podríamos leer la bandera de root.

En situaciones normales (es decir, sin que tuviese ese binario esa capabilitie) no nos debería dejar establecer nuestra uid a 0 y pasaría algo parecido a esto:

clear ya funciona

Situaciones normales sin capabilitie

Esto pasa porque estoy usando el binario de python3 (que lo toma del PATH) y no el binario que sí cuenta con la capabilitie que NO está dentro de PATH ya que está oculto en el directorio home del usuario kiba y este directorio no se encuentra en el PATH del sistema.

Calificación

  • Dificultad de acceso: 9% 9%
  • Dificultad de escalación de privilegios: 6% 6%

He hecho esta puntuación basándome en estos valores propios:

Fácil1% – 30%

Medio: 31% – 70%

Difícil: 71% – 100%

Anuncio

Sobre el Autor

Martin Frias

Founder of Coldd Security

1 comentario

  1. Luis Manuel

    Buen write-up

    Responder

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Información adicional sobre protección de datos:
Responsable: Martin Frias.
Finalidad: Moderar los comentarios de este sitio web.
Cesión: NO se cederán a nadie, salvo obligación legal.
Derechos: Acceso, rectificación, cancelación y borrado de tus datos.
Legitimación: Tu consentido expreso.

REDES SOCIALES

Newsletter

Estadísticas

  • 189.190
  • 57

TheHackerSnow

0

Share This