Los 40 ladrones

✍️ Autor: firstatack🔍 Dificultad: Fácil 📅 Fecha de creación: 04/07/2024

🔍 RECONOCIMIENTO

En primer lugar, tras conectarnos a la máquina, utilizamos el comando:

ping -c 1 172.17.0.2

para verificar la conectividad de red.

A continuación, se realiza el comando:

nmap -p- --open -sT --min-rate 5000 -vvv -n -Pn 172.17.0.2 -oG allPorts

para realizar un escaneo de puertos y servicios detallado en la dirección IP.

Como podemos observar durante el escaneo el puerto 80 perteneciente al servicio HTTP está abierto, por lo que se procederá a indagar más.

🔎 EXPLORACIÓN

Se utiliza el comando:

sudo nmap -sCV -p80 -v 172.17.0.2

para obtener más información sobre ese puerto específicamente.

Seguimos indagando más sobre los puertos y ahora exploramos el servicio HTTP. Se ingresó la dirección IP en el navegador, lo que llevó a que la página web sobre la página por defecto Apache2.

De primeras, no se nos muestra nada, por lo que revisamos el código fuente por si hay alguna información oculta relevante pero no vemos nada.

Ahora buscaremos directorios con la herramienta Gobuster a través de:

gobuster dir -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x html,htm,php,txt,xml,js -u http://172.17.0.2

Hemos encontrado un archivo de texto llamado qdefense.txt. A continuación, procederemos a visualizar su contenido en la página web.

En el archivo qdefense.txt encontramos información relevante, como un posible usuario del sistema llamado "toctoc" y una serie de números que parecen corresponder a una secuencia de puertos (7000, 8000, 9000). Esta secuencia sugiere el uso de una técnica conocida como port knocking. En esta técnica, un firewall está configurado para abrir un puerto específico solo si se detecta una conexión en una secuencia de puertos predefinida.

Para llevar a cabo este ataque, utilizamos la herramienta knock. Dado que knock no está incluida por defecto en Kali Linux, primero debemos instalarla. Luego, ejecutamos el siguiente comando en la terminal para enviar la secuencia de puertos:

knock 172.17.0.2 7000 8000 9000

Para verificar si se ha abierto algún puerto adicional tras realizar el port knocking, volvemos a realizar un escaneo de puertos. Utilizamos nmap para este propósito. Aquí están los comandos para hacerlo:

nmap -p- --open -sT --min-rate 5000 -vvv -n -Pn 172.17.0.2 -oG allPorts

Este comando escaneará todos los puertos de la dirección IP 172.17.0.2 para identificar cualquier puerto adicional que se haya abierto.

Ahora que el puerto SSH (puerto 22) está abierto, podemos intentar obtener la contraseña del usuario toctoc utilizando un ataque de fuerza bruta con Hydra.

🚀 EXPLOTACIÓN

Con la información obtenida anteriormente, realizamos el comando:

hydra -l toctoc -P /usr/share/wordlists/rockyou.txt ssh://172.17.0.2 -f

que utiliza la herramienta Hydra para realizar un ataque de fuerza bruta contra el servicio SSH de una máquina con la IP 172.17.0.2.

Al realizar el ataque de fuerza bruta, hemos descubierto el usuario de esa contraseña. Sabiendo esto, nos conectamos a través de SSH al usuario con el comando:

ssh toctoc@172.17.0.2

🔐 PRIVILEGIOS

Al estar dentro y ejecutar:

whoami

aún no somos root, por lo que hacemos:

sudo -l

para ver si hay algo para explotar.

Hemos encontrado dos archivos que podríamos utilizar para escalar privilegios y obtener acceso como usuario root. De estos, nos centraremos en /opt/bash, ya que parece simular el intérprete de comandos de Linux utilizado para interpretar el código introducido por el usuario en la línea de comandos.

Para ejecutarlo, escribimos el siguiente comando en la terminal: