Last updated
Last updated
Servicios vulnerables: 22,25,80,139 y 445.
Nos creamos una carpeta para la primera máquina.
Entramos por el puerto 80 y vemos una imagen de un evento griego. Tampoco en el código fuente hay cosas relevantes. Hacemos por lo tanto hacemos fuerza bruta a directorios.
Por aquí no va el ataque. Ahora nos fijaremos en SMB.
Como no vemos que permisos tenemos sobre esos recursos usamos este comando.
Realizamos conexón con el recurso anonymous.
Nos descargamos el archivo y nos creamos un archivo con las contraseñas mencionadas. También podemos listar usuarios.
Con las credenciales.
Esas contraseñas no son válidas para el usuario helios.
Tenemos permisos a recursos que no teníamos antes.
Nos descargamos los archivos. Vemos que hemos encontrado una ruta oculta. Parece un WordPress por lo que añadimos el dominio al /etc/hosts.
Nota: también nos puede caer Drupal /drupscan) y Joomla (joomscan).
Enumeramos para el WordPress.
Usamos searchsploit para ver los exploits de los plugins.
Nos sale 3 exploits de masta.
Vemos el contenido y encontramos una ruta por la que entramos en ella y descubrimos el /etc/passwd. Vamos a convertir LFI a RCE. Atentamos a la id_rsa de los usuarios del sistema con la ruta anterior.
Tenemos la id_rsa pero encriptada.
Se necesita la clave pública para iniciar sesión. Copiamos la id_rsa el contenido y proporcionamos eso al inicio de sesión.
Extraemos los hashes de la id_rsa.
Encontramos la passphrase.
Estamos dentro de la máquina víctima. Revisamos.
Hay uno que nos llama la atención.
Con la herramienta strings podemos ver caracteres legibles.
Vemos que hay un curl y lo está buscando en el PATH del sistema. Vamos a hacer un PATH Hijacking.
Servicios vulnerables: 80.
No se acceden a los recursos de forma correcta y comprobamos el código fuente y descubrimos un dominio con el que lo añadimos a /etc/hosts.
Enumeramos directorios.
En el panel de Login.
Hacemos un captura con BurpSuite y lo guardamos en un fichero para hacer sqlmap.
En el perfil podemos cambiar la imagen de perfil por lo que intentamos subir una Reverse Shell. Hacemos posteriormente un tratamiento de la TTY.
Encontrando el usuario bella.
Las credenciales también se pueden encontrar en el servidor web.
Encontramos unas credenciales para una base de datos. También vemos que a nivel del sistema son las mismas por lo que nos logueamos a bella.
Servicios vulnerables: 135,139 y 445.
Vemos que hay un EternalBlue (ms17-010) y ms08-067.
Servicios vulnerables: 80, 135,139 y 445.
Al parecer tenemos varios usuarios. Enumeramos directorios con dirbuster pero nada. Enumeramos para el servicio SMB.
Encontramos unas credenciales bogo:bogo.
Nos descargamos ese archivo. Vemos un comando interesante.
Accedemos al recurso WEB con el usuario Marcos.
En ese directorio encontramos los mismos archivos que hay en el servicio web por lo que podemos subir cualquier archivo en lo que hacemos una Reverse Shell. Creamos un archivo .aspx que son los php para estos casos con MSFVenom.
Lo subimos y nos ponemos en escucha.
Ya tenemos una shell de Windows. Creamos un ejecutable para que nos envíe una Reverse Shell meterpreter.
Levantamos un servidor http con Python.
Nota: cambiamos el nombre de del index.html porque revisa ese archivo para el Directory listing.
Nos movemos a Public/Downloads para obtener el archivo.
Nota: en Linux es como el directorio /tmp
Abrimos Metasploit.
En meterpreter.
Servicios vulnerables: 22 y 80.
La página nos sale el resultado de hacer ping al localhost. Hay un nombre de dominio.
Hay un blog de Nibbleblog.
Fuerza bruta para la enumeración.
Con esas credenciales nos logueamos. Vamos a Metasploit.