Smag Grotto
Last updated
Last updated
Esta maquina es de dificultad facil, en el cual tiene un sitio que contiene un .pcap en el cual analizando con wireshark podemos obtener una credeciales que nos serviran para loguearnos a un panel de ejecución de comandos. Para escalara privilegios haremos uso de una tarea que se ejecutar
Link :
Created by
Enumeración
Escaneo de puertos
Enumeración del puerto 80
Enumeración de los directorios del sitio web
Wireshark
Enumeración del cms Subrion
Explotación
RCE
Escalar Privilegios
Crontab
Binario apt-get
Iniciamos con nusetra herramienta preferida a escanear los puerto de la maquina victima
Para entender un poco mas de los parametros que lanzamos con nmap podemos leer un poco lo siguiente:
-p-: Esta opción indica a Nmap que escanee todos los puertos en lugar de un rango específico. El guion ("-") significa "todos los puertos". Esto permite escanear todos los puertos desde el puerto 1 hasta el 65535.
--open: Esta opción le dice a Nmap que solo muestre los puertos que están abiertos. Los puertos abiertos son aquellos en los que un servicio está escuchando y aceptando conexiones.
--min-rate 1000: Esto establece la velocidad mínima de escaneo en 1000 paquetes por segundo. Cuanto mayor sea la velocidad de escaneo, más rápido se completará el escaneo, pero ten en cuenta que un escaneo más rápido puede ser más intrusivo y podría llamar la atención no deseada.
[IP-VICTIM]: Esta es la dirección IP del objetivo que se va a escanear. Debes reemplazarla por la dirección IP que deseas escanear.
-Pn: Esta opción indica a Nmap que no realice el descubrimiento de hosts (Ping) antes de escanear los puertos. Puedes usar esto si sabes que el host objetivo no responde a los paquetes de Ping.
-n: Esta opción le dice a Nmap que no realice la resolución de nombres DNS. Puedes usarlo si no deseas que Nmap realice búsquedas DNS inversas durante el escaneo.
-oG allportsScan: Esta opción le indica a Nmap que genere la salida en formato "greppable" (Grep) y la guarde en un archivo llamado "allportsScan". Este archivo contendrá información detallada sobre los puertos abiertos y otros detalles del escaneo. Para entender un poco mas de los parametros que lanzamos con nmap podemos leer un poco lo siguiente:
-p-: Esta opción indica a Nmap que escanee todos los puertos en lugar de un rango específico. El guion ("-") significa "todos los puertos". Esto permite escanear todos los puertos desde el puerto 1 hasta el 65535.
--open: Esta opción le dice a Nmap que solo muestre los puertos que están abiertos. Los puertos abiertos son aquellos en los que un servicio está escuchando y aceptando conexiones.
--min-rate 1000: Esto establece la velocidad mínima de escaneo en 1000 paquetes por segundo. Cuanto mayor sea la velocidad de escaneo, más rápido se completará el escaneo, pero ten en cuenta que un escaneo más rápido puede ser más intrusivo y podría llamar la atención no deseada.
[IP-VICTIM]: Esta es la dirección IP del objetivo que se va a escanear. Debes reemplazarla por la dirección IP que deseas escanear.
-Pn: Esta opción indica a Nmap que no realice el descubrimiento de hosts (Ping) antes de escanear los puertos. Puedes usar esto si sabes que el host objetivo no responde a los paquetes de Ping.
-n: Esta opción le dice a Nmap que no realice la resolución de nombres DNS. Puedes usarlo si no deseas que Nmap realice búsquedas DNS inversas durante el escaneo.
-oG allportsScan: Esta opción le indica a Nmap que genere la salida en formato "greppable" (Grep) y la guarde en un archivo llamado "allportsScan". Este archivo contendrá información detallada sobre los puertos abiertos y otros detalles del escaneo.
nmap nos reporta los tres puerto abiertos, de los cuales vamos a seguir enumerando los servicios y versiones que se ejecutan en estos puertos.
Enumeros los puertos abiertos
-p22,80: Esta opción especifica los puertos que se van a escanear. En este caso, se están escaneando los puertos 22, 80. Los números de puerto están separados por comas y no se utiliza el rango de puertos.
-sV: Esta opción realiza la detección de versiones de servicios. Nmap intentará determinar qué servicios se están ejecutando en los puertos especificados y mostrará información sobre las versiones de esos servicios.
-sC: Activa los scripts de secuencia de comandos (scripts de automatización) de Nmap. Esto permite que Nmap ejecute scripts de detección y enumeración de servicios en los puertos especificados.
-Pn: Esta opción indica a Nmap que no realice el descubrimiento de hosts (Ping) antes de escanear los puertos. Si no se puede contactar con el host a través de Ping, Nmap aún intentará escanear los puertos especificados.
-vvv: Esto establece el nivel de verbosidad del escaneo en "muy alto". Esto significa que Nmap proporcionará una salida detallada que incluye información adicional sobre el progreso del escaneo.
[IP-VICTIM]: Debes reemplazar [IP-VICTIM] con la dirección IP del objetivo que deseas escanear. Este es el host en el que se realizará el escaneo.
-oN servicesScan: Esta opción le dice a Nmap que genere la salida en formato "greppable" (Grep) y la guarde en un archivo llamado "servicesScan". Este archivo contendrá información detallada sobre los servicios y versiones detectadas en los puertos especificados.
Al ejecutar nmap con los puertos abiertos, nos reporta lo siguiente:
Enumeramos el puerto 80 y podemos ver una web
Enumeremos los directorios del sitio web, yo voy a enumerar con gobuster tu puedes usar el que prefieras
dir: Esto indica que estás realizando una búsqueda en nombres de directorios.
-w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt: Con esta opción, estás especificando el archivo de lista de palabras que Gobuster utilizará para probar nombres de directorios y archivos. En este caso, se está utilizando el archivo "directory-list-2.3-medium.txt" que se encuentra en el directorio "/usr/share/wordlists/dirbuster/" como fuente de palabras para la fuerza bruta.
-u http://[IP-VICTIM]: Esta es la URL del sitio web en el que deseas realizar la búsqueda de nombres de directorios y archivos. En este caso, se está apuntando a "http://[IP-VICTIM]". Gobuster intentará encontrar nombres de directorios y archivos en esta URL.
-t 100: Con esta opción, estás especificando el número de hilos que Gobuster utilizará para realizar los ataques de fuerza bruta. En este caso, se están utilizando 100 hilos para acelerar el proceso.
-x txt,php,html: Esta opción define las extensiones de archivo que se deben buscar durante el escaneo. Gobuster buscará nombres de directorios y archivos que terminen en ".txt", ".php" o ".html".
gobuster nos enumera un un directorio mail
En el http://[IP-VICTIM]/mail visualizamos un .pcap el cual descararemos para poder analizarlo
En uno de los paquetes hay una peticion post el cual tiene información con credenciales y un subdominio
Con las credenciales que encontramos, vamos a loguearnos en la dirección que web que encontramos en los paquetes del .pcap
Al loguearnos nos encontramos con un panel donde podemos ejecutar comandos. Vamos a hacerlo como lo hago yo
Primero, creamos un ìndex.html donde estara nuestra revershell
Segundo, en otra terminal iniciamos un servidor en python3
Tercero, ejecutamos lo siguiente en el panel donde podemos ejecutar comandos
Antes de ejecutar debemos de poner ncat a la escucha para recibir la shell
Luego de ejecutar, obtnemos una shell
Antes de ello debemos hacer un tratamieto a la tty
Enumerando encontraremos que existe una tarea cron
Esta tarea que lo ejecutar root el cual hace una copia de /opt/.backups/jake_id_rsa.pub.backup al directorio home/jake/.ssh/authorized_keys. Podemos aprovechar ya que tenemos permisos de escritura del archivo jake_id_rsa.pub.backup y agregar nuestra id_rsa.pub
Haciendo uso de nuestra id_rsa podemos loguearnos sin proporcionar contraseña
Ahora haciendo uso de sudo -l podemos enumerar los permisos que tiene jake para ejecutar binarios con privilegios.
en la siguiente imagen podemos ver que tenemos permisos de un binario apt-get
¡VAMOS!
Happy Hacking :)
Puedes revisar como crear una
Haciendo uso de nuestro recurso de par poder escalar privilegios a root
