🥷Anonymous Pingu (Easy) - Dockerlabs

Anonymous pingu

Reconocimiento

En primer lugar lanzo un nmap para identificar servicios, ya de primeras llama mucho la atención ese servidor FTP con un directorio que permite escritura y login anónimo.

Explotación

Ni siquiera hace falta visitar la página, basta con subir una revshell de PHP a la página y luego hacer una solicitud a http://ip-dockerlab/upload/shell.php. Subo el archivo al servidor FTP con curl y no da ningún problema, ahora sé que esta en /upload

curl -T shell.php ftp://172.17.0.2/upload/

Ahora, al visitar http://172.17.0.2/upload/ me encuentro con esto:

Simplemente clico en el archivo y ya estoy dentro como www-data

Post explotación

Lo primero al entrar es sanitizar la shell con:

export SHELL=bash
export TERM=xterm-256color
source /etc/skel/.bashrc

Luego, lanzando un sudo -l rápidamente se ve que podemos escalar al usuario pingu a través del binario man, sin embargo, después de varios intentos veo que no hay manera, así que pruebo una sanitización alternativa por si era la shell y ahora si funciona.

Una vez ya soy pingu, al lanzar sudo -l de nuevo veo dos binarios a través de los que escalar al usuario gladys, y me quedo con dpkg, simplemente con:

sudo -u gladys dpkg -l
## Escribir !/bin/bash

Ya he escalado al usuario gladys

Después de un rato, no supe terminar esta parte, y me serví del writeup de d1se0 para aprender el método y finalizar.

PreviousEscolares (Easy) - Dockerlabs NextFind your style (Easy) - Dockerlabs

Last updated 20 days ago