search

B3dr0ck

Para obtener los privilegios de usuario root tendremos que explotar un servicio que otorga una key y un cert el cual te permitira conectarte al servidor para obtner unas credenciales validas para iniciar sesión por ssh

20231109232935.png

hashtag
Walkthrough

hashtag
Enumeración

hashtag
Escaneo de puertos

Iniciamos enumerando cada unos de los puertos, con la finalidad de encontrar aquellos que tengan un estado abierto

Entendamos cada uno de los parametros de nmap

-p-: Escanea todos los puertos (1-65535). La opción -p- indica a Nmap que escanee todos los puertos en lugar de limitarse a un rango específico.

--open: Muestra solo los puertos abiertos en lugar de todos los puertos escaneados. Esto reduce la salida a solo los puertos que están activos.

--min-rate 1000: Establece la velocidad mínima de envío de paquetes. En este caso, se ha establecido en 1000 paquetes por segundo. Esto puede ayudar a acelerar el escaneo, pero ten en cuenta que tasas de envío demasiado altas pueden considerarse abuso de red.

-vvv: Establece el nivel de verbosidad del escaneo. En este caso, se ha establecido en el nivel más alto (-vvv) para obtener una salida más detallada.

[IP-VICTIM]: Debes reemplazar esto con la dirección IP de la víctima que deseas escanear.

-Pn: Ignora la detección de host y asume que el host objetivo está activo. Esto puede ser útil cuando los hosts no responden a las solicitudes de ping.

-n: Realiza el escaneo sin realizar la resolución de DNS. Esto acelera el escaneo y evita la necesidad de un servidor DNS.

-oG allportsScan: Guarda la salida en formato greppable (Grep) en un archivo llamado "allportsScan". Este formato permite un fácil procesamiento posterior con herramientas de análisis de texto.

Anteriormente nmap reporto que los puertos 22,80,4040,9009,54321 estaban abiertos, por lo que ahora vamos a enumerar los servicios que se ejecutan en cada uno de estos puertos

Ejecutamos el comando y nos da un reporte de los servicios y alguna información adicional, pero vamos a entender mejor cada uno de los parametros:

-p22,80,4040,9009,54321: Especifica los puertos a escanear. En este caso, se están escaneando los puertos 22 (SSH), 80 (HTTP), 4040, 9009, y 54321.

-sC: Activa la opción de scripts de secuencia de comandos de servicio. Ejecuta scripts incorporados en Nmap para detectar características específicas de servicios en los puertos escaneados.

-sV: Realiza una detección de versión para obtener información sobre las versiones de los servicios que se están ejecutando en los puertos escaneados.

-vvv: Establece el nivel de verbosidad del escaneo. En este caso, se ha establecido en el nivel más alto (-vvv) para obtener una salida más detallada.

[IP-VICTIM]: Debes reemplazar esto con la dirección IP de la víctima que deseas escanear.

-oN servicesScan: Guarda la salida en formato normal en un archivo llamado "servicesScan". Este formato permite una fácil revisión y análisis de la salida del escaneo.

hashtag
Puerto 80

Al ingresar en el puerto 80, este nos redirige al 4040

hashtag
Puerto 4040

En el sitio web https://[IP-VICTIM]:4040/ observamos

20231110000122.png

Encontramos un mensaje el cual habla de que hay un servicios que no deben de estar ejecubatdose, pero no encontraremos mas información

hashtag
Explotación

hashtag
Puerto 9009

En el puerto 9009 tenemos un servicio pichat que investigando encontre que podemos conectarnos por telnet

Nos conecta a un servicio el cual nos da un key y un cert

  • Key

20231110031024.png

  • Cert

20231110031046.png

Pero no sabemos como usarlo, asi que ponemos un help y podemos obtener una ayuda de como ejecutarlo

20231110031843.png

Investigando encontre que podemos conectarnos de la siguiente manera:

  • Primera forma

  • Segunda forma

20231110032219.png

Una vez conectado obtendremos unas credenciales

20231110032402.png

Estas credenciales permitirean conectarte por ssh como el suario barney

hashtag
Escalada de privilegios

hashtag
Usuario - barney

Ejecutando sudo -l observamos que tenemos permiso de ejecucion al binario certutil

20231110032439.png

Haciendo uso de este binario generaremos certificados para el usuario fred que luego la usaremos como hicimos con el usuario barney para obtener las credenciales de este usuario

  • Key

20231110034325.png

  • Cert 20231110034353.png

Nuevamente nos conectamos al servidor por el puerto 54321

Obtendremos unas credenciales. las cuales podemos hacer uso

20231110034436.png

hashtag
Usuario - Fred

20231110034637.png

Enumerando los permisos del usuario, observamos que puede ejecutar /usr/bin/base64 /root/pass.txt

20231110114059.png

Al ejecutar obtenemos un texto en base64

20231110114032.png

Para desencriptar haremos uso de CyberChefarrow-up-right

20231110114129.png

Obtenemos un hash, para crackear esto utilizaremos nuestra web de confianza que es crackstationarrow-up-right

20231110114156.png

Haciendo uso de la credencial, iniciaremos sesión como el usuario root

hashtag
Usuario - root

20231110114727.png

¡VAMOS!

Happy hacking :)

PreviousTony The TigerNextValley

Last updated