Hi there!

Una máquina de Dockerlabs de dificultad intermedia. Como con todas las máquinas de Dockerlabs iniciamos el container con el script auto_deploy.sh y despúes iniciamos la enumeración. En este caso utilizare mi script fuga.sh de https://github.com/XoanOuteiro/sorcery export TARGET=172.17.0.2 fuga.sh --[風雅]-- --[Enumerating Ports]-- --[Scanning]-- --[Detected Services]-- Service | Version ---------------------+-------------------------- http | Apache httpd 2.4.58 ((Ubuntu)) http | SimpleHTTPServer 0.6 (Python 3.12.3) --[Host Fingerprinting]-- Category | Details ---------------------+-------------------------- Device Type | general purpose|router Running | Linux 4.X|5.X, MikroTik RouterOS 7.X OS Details | Linux 4.15 - 5.19, OpenWrt 21.02 (Linux 5.4), MikroTik RouterOS 7.2 - 7.5 (Linux 5.6.3) OS CPE | cpe:/o:linux:linux_kernel:4 cpe:/o:linux:linux_kernel:5 cpe:/o:mikrotik:routeros:7 cpe:/o:linux:linux_kernel:5.6.3 Ver un servidor HTTP python de primeras es interesante, es probable que este hosteando algún archivo importante. No parece haber nada (el archivo id_rsa esta vacío) pero en /secret/history.txt encontramos este string: “super_secure_password” ...

Esta es una máquina de explotación trivial basada en una inyección SQL y escalada de privilegios gracias a archivos con el bit SUID. Iniciamos la máquina mediante el auto_deploy: ./auto_deploy.sh injection.tar Estamos desplegando la máquina vulnerable, espere un momento. Máquina desplegada, su dirección IP es --> 172.17.0.2 Presiona Ctrl+C cuando termines con la máquina para eliminarla Sabemos que la IP es 172.17.0.2, vamos a realizar un escaneo de nmap: ...

Esta es una máquina relativamente sencilla de Dockerlabs que se explota obteniendo un foothold mediant LFI tras descubrir un parámetro oculto. La escalada de privilegios consiste en una import/library hijacking. Instanciamos el container mediante: ./auto_deploy.sh psycho.tar ## . ## ## ## == ## ## ## ## === /""""""""""""""""\___/ === ~~~ {~~ ~~~~ ~~~ ~~~~ ~~ ~ / ===- ~~~ \______ o __/ \ \ __/ \____\______/ ___ ____ ____ _ _ ____ ____ _ ____ ___ ____ | \ | | | |_/ |___ |__/ | |__| |__] [__ |__/ |__| |___ | \_ |___ | \ |___ | | |__] ___] Estamos desplegando la máquina vulnerable, espere un momento. Máquina desplegada, su dirección IP es --> 172.17.0.2 Presiona Ctrl+C cuando termines con la máquina para eliminarla Tenemos la IP objetivo en el mensaje. ...

Esta es una máquina trivial de Dockerlabs que se basa en la exploración web básica, la fuerza bruta SSH y la escalada de privilegios mediante una mala configuración de sudoers. Instanciamos el contenedor: ./auto_deploy.sh trust.tar ## . ## ## ## == ## ## ## ## === /""""""""""""""""\___/ === ~~~ {~~ ~~~~ ~~~ ~~~~ ~~ ~ / ===- ~~~ \______ o __/ \ \ __/ \____\______/ ___ ____ ____ _ _ ____ ____ _ ____ ___ ____ | \ | | | |_/ |___ |__/ | |__| |__] [__ |__/ |__| |___ | \_ |___ | \ |___ | | |__] ___] Estamos desplegando la máquina vulnerable, espere un momento. Máquina desplegada, su dirección IP es --> 172.18.0.2 Presiona Ctrl+C cuando termines con la máquina para eliminarla Iniciamos con el escaneo de puertos: ...

This is a Vulnyx VM. As usual lets begin with basic discovery: Arpsweep: sudo nmap -sn 192.168.56.100/24 -oN arpsweep.txt [sudo] password for kali: Starting Nmap 7.95 ( https://nmap.org ) at 2025-04-01 20:10 CEST Nmap scan report for 192.168.56.1 Host is up (0.00014s latency). MAC Address: 0A:00:27:00:00:00 (Unknown) Nmap scan report for 192.168.56.10 Host is up (0.00020s latency). MAC Address: 08:00:27:E9:B5:FB (PCS Systemtechnik/Oracle VirtualBox virtual NIC) Nmap scan report for 192.168.56.111 Host is up (0.00082s latency). MAC Address: 08:00:27:2B:FF:06 (PCS Systemtechnik/Oracle VirtualBox virtual NIC) Nmap scan report for 192.168.56.100 Host is up. Nmap done: 256 IP addresses (4 hosts up) scanned in 2.19 seconds So target IP is 56.111 ...

Let’s start with an arpsweep to discover the targets IP address: sudo nmap -sn 192.168.56.100/24 -oN arpsweep.txt Which results as: Starting Nmap 7.95 ( https://nmap.org ) at 2025-04-01 18:47 CEST Nmap scan report for 192.168.56.1 Host is up (0.00021s latency). MAC Address: 0A:00:27:00:00:00 (Unknown) Nmap scan report for 192.168.56.10 Host is up (0.00020s latency). MAC Address: 08:00:27:E9:B5:FB (PCS Systemtechnik/Oracle VirtualBox virtual NIC) Nmap scan report for 192.168.56.110 Host is up (0.00042s latency). MAC Address: 08:00:27:DE:0D:24 (PCS Systemtechnik/Oracle VirtualBox virtual NIC) Nmap scan report for 192.168.56.100 Host is up. Nmap done: 256 IP addresses (4 hosts up) scanned in 2.15 seconds Target is 56.110 ...

Arpsweep: sudo nmap -sn 192.168.56.100/24 -oN arpsweep.txt Starting Nmap 7.95 ( https://nmap.org ) at 2025-03-27 17:51 CET Nmap scan report for 192.168.56.1 Host is up (0.00019s latency). MAC Address: 0A:00:27:00:00:00 (Unknown) Nmap scan report for 192.168.56.10 Host is up (0.0010s latency). MAC Address: 08:00:27:FB:FB:0A (PCS Systemtechnik/Oracle VirtualBox virtual NIC) Nmap scan report for 192.168.56.109 Host is up (0.00072s latency). MAC Address: 08:00:27:81:8F:71 (PCS Systemtechnik/Oracle VirtualBox virtual NIC) Nmap scan report for 192.168.56.100 Host is up. Nmap done: 256 IP addresses (4 hosts up) scanned in 2.25 seconds La IP es 192.168.56.109 ...

Ejemplos realizados en la máquina LPEP Escalada por exploits del Kernel Un ejemplo básico es usar exploits de kernel. Por ejemplo en este caso dirtycow (un fallo en el kernel que permite a un usuario no privilegiado modificar ficheros a los que solo podria acceder en modo lectura) Ejemplo: En este caso tenemos dirtycow en /tools: Podemos compilarlo y ejecutarlo. gcc -pthread c0w.c -o c0 ./c0 Tras un cierto tiempo recuperaremos la terminal. ...

Ping for TTL and visibility ❯ ping -c 1 10.10.10.245 PING 10.10.10.245 (10.10.10.245) 56(84) bytes of data. 64 bytes from 10.10.10.245: icmp_seq=1 ttl=63 time=37.3 ms --- 10.10.10.245 ping statistics --- 1 packets transmitted, 1 received, 0% packet loss, time 0ms rtt min/avg/max/mdev = 37.252/37.252/37.252/0.000 ms (TTL suggests Linux) ❯ sudo nmap -sS -A -T4 10.10.10.245 -oN nmap.txt [sudo] password for kali: Starting Nmap 7.95 ( https://nmap.org ) at 2025-02-18 19:30 CET Nmap scan report for 10.10.10.245 Host is up (0.037s latency). Not shown: 997 closed tcp ports (reset) PORT STATE SERVICE VERSION 21/tcp open ftp vsftpd 3.0.3 22/tcp open ssh OpenSSH 8.2p1 Ubuntu 4ubuntu0.2 (Ubuntu Linux; protocol 2.0) | ssh-hostkey: | 3072 fa:80:a9:b2:ca:3b:88:69:a4:28:9e:39:0d:27:d5:75 (RSA) | 256 96:d8:f8:e3:e8:f7:71:36:c5:49:d5:9d:b6:a4:c9:0c (ECDSA) |_ 256 3f:d0:ff:91:eb:3b:f6:e1:9f:2e:8d:de:b3:de:b2:18 (ED25519) 80/tcp open http Gunicorn |_http-server-header: gunicorn |_http-title: Security Dashboard Device type: general purpose Running: Linux 5.X OS CPE: cpe:/o:linux:linux_kernel:5.0 OS details: Linux 5.0, Linux 5.0 - 5.14 Network Distance: 2 hops Service Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel TRACEROUTE (using port 111/tcp) HOP RTT ADDRESS 1 37.88 ms 10.10.14.1 2 38.07 ms 10.10.10.245 OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 18.76 seconds FTP Enum No FTP anon login allowed sadly: ...

Recon DNS 1 Records WHOIS -> Punteros DNS con Dig -> Zonetransfer (A-REC) (comandos: nslookup, dnsenum, dig, whois, host) whois [dominio/IP/rango] host [dominio] host -t [tipoDeRegistro] [dominio] nslookup -type=[registro] [dominio] Recon DNS 2 Archivos de transferncia de zona: Realizando peticiones AXFR de un host a un nameserver Obtenemos los NS dig NS [dominio] Despues podemos realizar la comprobacion con host, dig, dnsenum y dnsrecon: dig [@nameserver] [dominio] axfr dnsenum [dominio] host -la [dominio] [nameserver] dnsrecon -d [domain] -t axfr Recon DNS 3 Enumeracion de subdominios: ...