Una de las primeras maquinas que hice cuando descubrí vulnhub. Es antigua pero seguro que vamos a echar una risas.

 

Link: https://www.vulnhub.com/...

 

Un primer escaneo con nmap ya nos canta un login anonymous del ftp. Además de un 22 ssh y un 80 http.

 

Antes de intentar loguearme al ftp creo que voy a darme una vuelta por el puerto 80.

Un meme de un troll, en la que de una pasada rapida a los metadatos, strings y demás, no encuentro nada.

 

Y lo siguiente antes de fuzzear directorios es mirar el robots.txt, que en este caso nos muestra un directorio.

 

---http://192.168.110.140/robots.txt---

User-agent:*
Disallow: /secret

 

Bueno, pues vamos a verlo.

 

Jeje. Otra imagen. De nuevo, exif, foremost, strings. Pero no encuentro nada raro. En general no encuentro nada más que me llame la atencion en el http.

 

Creo que es hora de ver que está pasando en el ftp.

 

Un archivo pcap eh??? Pues algo tiene que tener.

 

Abrimos la captura con el tiburón y observando un poco vemos como es un inicio de sesion FTP, con paquetes FTP-DATA... y eso de toda la vida de dios, va en claro.

 

Ahí tenemos la siguiente pista: 'sup3rs3cr3tdirlol'

 

Quizás un directorio http? no puede ser otra cosa.

 

"roflmao: ELF 32-bit LSB executable, Intel 80386,"  <-- file roflmao.

 

La breva nos la encontramos mirando los strings. Una captura y ahora os cuento:

 

Aquí nos han puesto un cebo, aunque con bastante poco exito.

 

Nos dice que busquemos la dirección 0x0856BF y claro... lo primero es pensar en llevarselo al debugger. Pero, a mi ahí me faltan un par de numeros para que por por lo menos sea una direccion de 32bits. O quizás lo que le falta son dos ceros al final...

 

Ummm, no sé, el caso es que me huelo el trolleo y en un momento de lucided, antes de llevarlo a radare, pienso: ¿No será un directorio http?

 

Jajaja, que puto troll. Mola!

 

Venga. Aqui tenemos un par de carpetas, y de primeras tenemos:

 - /0x0856BF/good_luck/which_one_lol.txt: Que contiene una serie de lo que yo diria que son users (uno tiene una marca como indicando que ese no funcionará)

 

- /0x0856BF/this_folder_contains_the_password/Pass.txt: Un password muy original. Good_job_:)

 

Rapidamente, que voy a pensar? hydra, no? Tenemos el FTP y el SSH ahí esperando desde hace ya un buen rato.

 

Bah, nada de nada. ni en el ftp ni en ssh. Pero espera... es un jodido troll, lleva un rato jugando con las palabras, haciendonos pensar lo que el quiere que pensemos.

 

Si nos damos cuenta la carpeta que contiene el password se llama,

this_folder_contains_the_password/, y dentro está el archivo Pass.txt.... Claro joder, nos lo ha vuelto a hacer. El pasword está en la carpeta si, pero es el nombre del archivo. Que mamón.

 

Joder, el rato que me ha tenido dando vueltas y probando cosas raras... jaja.

 

ssh no? vamos pa'dentro que este troll ya casi está listo para la sopa. Aunque parece que todavia se retuerce, por que ojito con la lista de usuarios que aparecen en /etc/passwd.

 

Que? Nos ponemos con hydra a ver si salta alguno? pff es una locura pero no queda otra. Me preparo la lista de usuarios y con un modesto diccionario de los passwords comunes...ahí lo dejo de fondo.

 

Mientras hydra hace su trabajo (que tiene para rato), vamos a la divertida tarea de recorrer directorios. Lo típico no? El home, backups, etc, etc <-- (broma)

 

Cuando llevo alrededor de 5 minutos buscando, me encuentro con una agradable sorpresa. Me han tirado de la session! ... será cabrón. 

 

Bueno, por suerte no es más que una 'patadita', ssh otra vez y pa'detro.

 

Localizo el archivo que me esta kickeando todo el rato en /opt/lmao.py pero no puedo hacer nada con el. De momento.

 

Otra cosa que llama mucho la atención, tanto como para sacar una sorrisilla de chicuelo, es /var/log/cronlog.

 

Un script en python muyyyyy jugoso:  /lib/log/cleaner.py

 

Es solo cuestión de hacer un find, lo que no entiendo es como no lo he encontrado antes en las busquedas que estuve haciendo... (espero no estar perdiedo reflejos)

 

Echemos un ojete a ese script.

 

Claro! está borrando la carpeta /tmp/ y ademas cada poco tiempo. Es de root y... sorpresa! tenemos todos los permisos de escritura, pufff!!!! esto es tu fín maldito troll.

 

Lo primero que voy a hacer es editar este archivo, así podré usar /tmp/ tranquilamente.

 

Con esto ya tengo el control y voy a ir a lo burro. Quiero ser admin!!!

 

Este script creará el usuario doctor (root). Solo hay que darle permisos de ejecución, esperar un poco y el troll caerá en nuestra trampa.

 

Rock'n Troll!!!