WriteUp CTF Basic Pentesting de Try Hack Me

Introducción

Este artículo trata sobre la sala de Basic Pentesting creada por TryHackMe. Es un CTF gratuito que todos pueden realizar.

Esta sala cubre todos los elementos básicos de pentesting, que son la enumeración de servicios, la enumeración de Linux, la fuerza bruta, el ataque de diccionario, el descifrado de hash y la escalada de privilegios. Sin más preámbulos, entremos en el desafío.

Enumeración

El escaneo Nmap es imprescindible para todos los pentester. Esta es una de las formas de obtener información sobre una máquina. Ingrese el siguiente comando para realizar el escaneo.

Tenemos un total de 6 puertos abiertos disponibles en la máquina que son:

  • SSH (puerto 22)
  • HTTP (puerto 80)
  • SMB (puerto 139)
  • SMB (puerto 445)
  • ajl13 (puerto 8009)
  • HTTP (puerto 8080)

Comenzamos con el Puerto 80 e investigamos el contenido dentro de él.

Bueno, nada fuera de lo común.

Enumeración de directorios ocultos

Vamos a usar gobuster para encontrar el directorio oculto del servidor HTTP. Utilice el siguiente comando.

Tenemos un directorio oculto llamado /development. Vamos a ver que contiene.

Tenemos dos archivos de texto dentro del directorio. El dev.txt y j.txt

/development/dev.txt

/development/j.txt

El dev.txt habla de algo relacionado con los puntales de APACHE con la versión 2.5.12, mientras que el archivo j.txt menciona un directorio con el hash de contraseña dentro de la máquina. Dejamos a un lado j.txt primero ya que aún no nos hemos conectado a la máquina.

Recopilación de información

Al buscar en Google APACHE struts CVE, me encontré con este sitio.

El exploit para la vulnerabilidad CVE-2017-9805 se encuentra en Metasploit. Vamos a probar.

No podemos obtener un shell inverso para el exploit. ¿Qué más podemos hacer? ¿Todavía recuerdas que tenemos un puerto SMB que aún no hemos explotado?

Hablando de enumerar en samba, enum4linux podría ser la solución. Encienda su enum4linux con el siguiente comando.

Después de unos minutos, se le mostrarán los siguientes resultados.

Tenemos dos usuarios llamados kay y jan.

Ataques de fuerza bruta

Ya que hemos obtenido los nombres de usuario de la máquina. Es hora de usar la fuerza bruta usando hydra. Puede utilizar el siguiente comando.

Acceso a la máquina a través de SSH

Vamos a iniciar sesión a través del puerto 22 SSH con el par usuario y contraseña que tenemos.

Elevación de privilegios

Listar el archivo en el directorio jan no nos da ninguna respuesta para escalar el privilegio.

¿Recuerdas que tenemos el usuario kay? Vamos a ver qué información podemos encontrar.

Hay muchos archivos dentro de la carpeta kay. Ahora estamos interesados ​​en el archivo ‘pass.bak’. Acceder al archivo requería el permiso de kay. ¿Qué más podemos hacer para escalar como usuario jan?Aunque no soy partidario de herramientas automátizadas, vamos a usar linpeas para buscar formas de escalar mis privilegios en un servidor. Hay muchas maneras de buscar como elevar privilegios, pero esta es realmente útil y vamos a aprender a hacerlo. Primero deberemos descargar el ejecutable de linpeas.sh desde github con el siguiente comando.

Posteriormente, lo enviaremos a la máquina víctima con el siguiente comando.

Una vez en la máquina víctima volveremos el archivo ejecutable y los ejecutamos.

Tras un momento, comienza a devolver unos resultados interesantes… Por ejemplo, es vulnerable a pwnkit

También una clave ssh para el usuario kay.

Copie el resultado y colóquelo en un nuevo archivo en su máquina kali llamado kay_id_rsa. Luego, hay que hashear la clave con el siguiente comando (para kali Linux).

Después de eso, descifra el hash con la famosa lista de palabras rockyou.txt con el siguiente comando.

Dado que esta es una frase de contraseña para la clave pública ssh (esta NO es una contraseña ssh REAL para kay), debe acceder a ssh de kay con el siguiente comando.

Voila, estamos conectados como usuario kay.

Contraseña de kay

Aun así, recuerda el archivo pass.bak. Volvamos a él.

Esa es la contraseña súper larga de Kay. Jan realmente hizo un gran daño a kay y al sistema al no cambiar la contraseña de acuerdo con la política de contraseñas. Moraleja de la historia, recordar siempre a su equipo que use una contraseña segura.

Extra: escalar privilegios de superusuario

Este desafío aún no ha terminado, ya que no hemos escalado nuestro privilegio como superusuario. Veamos qué puede hacer kay con el comando Sudo.

Kay puede acceder a todos los comandos Sudo. ¡Eso es genial! Ahora, hagámonos un superusuario.

Tenemos una bandera dentro de la carpeta raíz con el mensaje del autor. ¡Ya hemos resuelto oficialmente el desafío!

Tags:

No responses yet

Deja una respuesta

Tu dirección de correo electrónico no será publicada.