CTF: Sumo

Voici le lien vers vulnhub où vous pourrez télécharger ce CTF.
https://www.vulnhub.com/entry/sumo-1,480/


Bien se passer, ne t’inquiètes pas !
Je vais couper court au suspense, beaucoup m’ont demandé en privé :
« DN|5 mais d’où cette fantastique connaissance et cette énergie peuvent elle venir? »

C’est simple. Je suis l’hôte d’un démon à grosses queues, je possède sept Sharingan dans les sept portes de mes chakras que je peux évidemment ouvrir comme bon me semble au grès des sables du désert que je nourris du sang de mes ennemis. Byakugan !
Que la lutte commence
Un check rapide des IP de mon réseau va vite me diriger vers la cible : 192.168.1.49
legion lancé > il trouvera 22 & 80
22 : OpenSSH 5.9p1 Debian 5ubuntu1.10 (Ubuntu Linux; protocol 2.0)
80 : http Apache/2.2.22
Dirbuster trouvera ceci : 192.168.1.49/cgi-bin/test/
Je vais donc devoir shellshock le serveur, enfin ça me semble évidemment

Je recherche un exploit dans metasploit
Une fois trouvé ( use 5 )




Exploit > BOOM
Je suis www-data
id et whoami pour confirmer ma présence
bash -i pour me filer une interface bash qui ressemble à quelque chose
uname -r et lsb_release pour vérifier sur quelle version de linux je suis



Recherche avec searchsploit voici un exemple de commande que vous pourriez faire afin d’alléger la liste :
searchsploit privilege | grep -i linux | grep -i kernel | grep 3.2
Sur Kali :
J’ai téléchargé l’exploit 33589.c
gcc -o exploit.1 33589.c Je compile le 33589.c en exploit.1
python -m SimpleHTTPServer Je boot un serveur http

Quand on fait un cat sur 33589.c afin de vérifier ce qu’il exécute, il est bien noté comment l’utiliser. Donc je vais devoir argumenter avec 0

uname -r qui me confirme bien que l’argument 0 est le bon
./exploit.1 0 > Exécution de l’exploit
whoami et id pour voir où j’en suis …
Et ce payload a fonctionné du tonnerre ! 😎
Bon le flag se situe dans :
« Goal: Get the root shell i.e.(root@localhost:~#) and then obtain flag under /root) »
Mais en réalité je l’ai oublié ^_^ Je me suis crée un user dans le groupe root + Ouvert le tty de la vm serveur.

Je cloture cette vm avec
mkfs.ext3 /dev/null
C’est un cadeau d’adieu pour un CTF. Sur un vrai site, je laisse un .txt assez flagrant pour l’admin pour lui dire où je suis passé. On est gentil.
By Dn|5