Bien, tenemos un servidor web, un servidor DNS y un puerto que responde “What do you want me to echo back?” a cualquier texto introducido, vamos a investigar un poco la web.

En un principio, parece el clásico index de apache, pero al mirar su código fuente, bingo!

Por tanto, me descargo el binario y voy a tratar de revisarlo localmente para ver si consigo sacarle provecho.

Al realizar un strings, veo que realiza un printf

Bueno, navengando por internet, me he encontrado con un repositorio de github el cual permite hacer pwn automáticamente a determinados binarios.

https://github.com/xct/ropstar

Lo descargo y lo ejecuto sobre el binario localmente con los parámetros remotos…

Y tenemos shell y nuestra bandera de usuario!

Ahora, voy a tratar de conseguir una shell un poco más independiente.

Veo que somo el usuario “user”, veamos si podemos crearnos un acceso ssh.

Perfecto! ya tenemos acceso ssh.

Dentro del directorio home, veo que hay 6 imágenes y un archivo KeePass. Leyendo en la web oficial, veo que se puede usar como contraseña o parte de ella un archivo, entre las opciones, un jpg.

Me he descargado todas las imagenes y el archivo .kdbx y voy a extraer los hash para lanzar john the ripper contra ellos.

Genial! ya sabemos que la contraseña es “bullshit”, ahora, utilizando el software KeePassX, vamos a abrir la base de datos usando la contraseña y la imagen IMG_0547.JPG

Ahora ya solo nos queda cambiar de usuario en nuestra sesión ssh y deberíamos tener root!

Y ya tenemos nuestra bandera root! 😀

Hack The Box, Retiradas