This page looks best with JavaScript enabled

Hack The Box - Irked

 ·  ☕ 3 min read  ·  ✍️ sckull

Irked es una maquina de HackTheBox aqui encontrarás la solucion para obtener la flag user.txt y root.txt.

NMAP

Escaneo de puertos.

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
Starting Nmap 7.70 ( https://nmap.org )
Nmap scan report for 10.10.10.117
Host is up (0.081s latency).
Not shown: 65205 closed ports, 323 filtered ports
PORT      STATE SERVICE VERSION
22/tcp    open  ssh     OpenSSH 6.7p1 Debian 5+deb8u4 (protocol 2.0)
| ssh-hostkey:
|   1024 6a:5d:f5:bd:cf:83:78:b6:75:31:9b:dc:79:c5:fd:ad (DSA)
|   2048 75:2e:66:bf:b9:3c:cc:f7:7e:84:8a:8b:f0:81:02:33 (RSA)
|   256 c8:a3:a2:5e:34:9a:c4:9b:90:53:f7:50:bf:ea:25:3b (ECDSA)
|_  256 8d:1b:43:c7:d0:1a:4c:05:cf:82:ed:c1:01:63:a2:0c (ED25519)
80/tcp    open  http    Apache httpd 2.4.10 ((Debian))
|_http-server-header: Apache/2.4.10 (Debian)
|_http-title: Site doesn't have a title (text/html).
111/tcp   open  rpcbind 2-4 (RPC #100000)
| rpcinfo:
|   program version   port/proto  service
|   100000  2,3,4        111/tcp  rpcbind
|   100000  2,3,4        111/udp  rpcbind
|   100024  1          47041/udp  status
|_  100024  1          48216/tcp  status
6697/tcp  open  irc     UnrealIRCd
8067/tcp  open  irc     UnrealIRCd
48216/tcp open  status  1 (RPC #100024)
65534/tcp open  irc     UnrealIRCd
No exact OS matches for host (If you know what OS is running on it, see https://nmap.org/submit/ ).
TCP/IP fingerprint:
OS:SCAN(V=7.70%E=4%D=4/26%OT=22%CT=1%CU=31533%PV=Y%DS=2%DC=T%G=Y%TM=5CC2690
OS:F%P=x86_64-pc-linux-gnu)SEQ(SP=100%GCD=1%ISR=10D%TI=Z%CI=I%II=I%TS=8)OPS
OS:(O1=M54DST11NW7%O2=M54DST11NW7%O3=M54DNNT11NW7%O4=M54DST11NW7%O5=M54DST1
OS:1NW7%O6=M54DST11)WIN(W1=7120%W2=7120%W3=7120%W4=7120%W5=7120%W6=7120)ECN
OS:(R=Y%DF=Y%T=40%W=7210%O=M54DNNSNW7%CC=Y%Q=)T1(R=Y%DF=Y%T=40%S=O%A=S+%F=A
OS:S%RD=0%Q=)T2(R=N)T3(R=N)T4(R=Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T5(R
OS:=Y%DF=Y%T=40%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)T6(R=Y%DF=Y%T=40%W=0%S=A%A=Z%F
OS:=R%O=%RD=0%Q=)T7(R=Y%DF=Y%T=40%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)U1(R=Y%DF=N%
OS:T=40%IPL=164%UN=0%RIPL=G%RID=G%RIPCK=G%RUCK=G%RUD=G)IE(R=Y%DFI=N%T=40%CD
OS:=S)

Network Distance: 2 hops
Service Info: Host: irked.htb; OS: Linux; CPE: cpe:/o:linux:linux_kernel

TRACEROUTE (using port 113/tcp)
HOP RTT      ADDRESS
1   83.76 ms 10.10.14.1
2   83.73 ms 10.10.10.117

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 2041.57 seconds.

HTTP

La pagina inicial nos muestra una imagen y una frase acerca de IRC.
image

GOBUSTER

Escaneo de directorios y archivos.

1
2
3
4
5
gobuster -u 10.10.10.117 -w /usr/share/wordlists/dirb/common.txt -q -np -x php,html,txt
/index.html (Status: 200)
/index.html (Status: 200)
/manual (Status: 301)
/server-status (Status: 403)

SHELL - UnrealIRCd

Para UnrealIRCd existe un backdoor el cual se puede explotar mediante un exploit existente en metasploit quiza el mensaje de la pagina principal se referia a esta vulnerabilidad, vamos configuramos el exploit.

Exploit

image
image

Payload

image

Obtenemos una Shell con el exploit
image

En el directorio principal carpeta Documents encontramos un archivo llamado .backup con un mensaje y una frase, el mensaje habla acerca de steg que se puede referir a steganography pero no encontramos ninguna imagen en los directorios, en la pagina principal se encuentra una imagen vamos a utilizarla para extraer informacion que pueda esconder dentro.
image

1
2
Super elite steg backup pw
UPupDOWNdownLRlrBAbaSSss

Stego - IRKED

Utilizamos steghide para extraer la informacion dentro de la imagen con la frase y encontramos una contraseña.
image

SHELL - Djmardov

Utilizamos la contraseña que encontramos en la imagen en ssh, obtenemos nuestra bandera user.txt.
image

PRIVILEGE ESCALATION

Buscamos archivos SUID para escalar privilegios

image

Encontramos un archivo /usr/bin/viewuser que al ejecutarlo nos envia un error donde /tmp/listusers no existe.

Para obtener una shell root agregamos una shell inversa al archivo que no existe, damos permisos al archivo y lo ejecutamos.

image
Obtenemos nuestra shell root y nuestra bandera root.txt.

Share on

sckull
WRITTEN BY
sckull
Pentester wannabe

HTB: Irked