--- title: THM - KIBA chapter: 1 tags: [tryhackme] difficulty: easy --- ## SCAN Para empezar con la máquina se inicia haciendo un scan de puerto mediante el uso de nmap con los siguientes comandos: ```bash= nmap -p- -sVC --min-rate 2000 10.10.247.38 -Pn -oN scan.txt ``` Se encuentrán 4 puertos abiertos, un servidor ssh, una página web corriendo en el puerto 80; en donde parece no mostrar mucha información. Un servicio corriendo en el 5044 y otro servicio extraño corriendo en el 5601, pero que esta mostrando demasiada información.  ## Enumeración ### Puerto 80 En esta página web solo hay una "imagen" acompañada de un mensaje que dice linux capabilities is very interesting. Por lo que no se siguio buscando más información.  ### Puerto 5044 y 5601 Al buscar un poco en internet parece que estos puertos están relacionados entre si, a algo llamado elastik stak. que consiste enconsiste en un conjunto de productos que han sido diseñados para tomar datos de cualquier fuente, así como analizarlos y visualizarlos en tiempo real. Después de buscar más información parece que se puede ingresar al servidor mediante la siguiente url: ```bash= http://10.10.247.38:5601 ```  Con esto hemos ingresado al servidor de kibana. Ahora si revisamos un poco podemos ver que el servidor se encuentra en la versión 6.5.4, que podría llegar a ser de utilidad.  Al buscar en internet un poco sobre esta versión se ve que es vulnerable a al CVE-2019-7609, por lo que vale la pena intentar ganar acceso a la máquina mediante este. https://github.com/mpgn/CVE-2019-7609 ## Explotación La CVE consiste en seguir los siguientes pasos para poder ganar una shell reversa.  Ahora solo es necesario copiar el payload ir a la pestaña timelion, pegar y modificar el payload. Después de esto solo hacer falta darle click a canva y con esto ya se habrá ganado una shell reversa dentro de la máquina atacante.   Y con eso ya se puede ver la flag de usuario.  ## Escalada de privilegios Al revisar dentro de la máquina se puede encontrar algo que es bastante importante con relación a los capabilities haciendo uso del siguiente comando: ```bash= getcap -r / 2>/dev/null ``` Y es que podemos ejecutar python3 con capacidades de super usuario.  Con esto en mente nos dirigimos a gtfobins para ver si podemos encontrar algo interesante. https://gtfobins.github.io/ Y según parece python tiene una forma de escalar privilegios gracias a los capabilites.   Por lo que solo haría falta ejecutar el comando: ```bash= /home/kiba/.hackmeplease/python3 -c 'import os; os.setuid(0); os.system("/bin/sh")' ``` Y con eso ya se habrá ganado una sesión como root dentro de la terminal. Con lo que se puede leer la flag.