Hace unos días (9 de diciembre) apareció un nuevo RCE, aunque se dio a conocer el 24 de noviembre a través del equipo de seguridad de Alibaba Cloud.
LOG4SHell es un Zero day en la biblioteca de registro de Java log4j2 que da por resultado un RCE (ejecución de código remota) a través del registro de una string concreta.
Log4j es una biblioteca de código abierto desarrollada en Java por la Apache Software Foundation que permite a los desarrolladores de software escribir mensajes de registro (segun wikipedia).
La vulnerabilidad se ha registrado como CVE-2021-44228. Esta se considera de carácter crítico, ya que aparece con un CVE de 10 (el más alto).
Log4j es un sistema bastante utilizado, por lo que se están viendo afectados desde servicios en la nube, como iCloud hasta aplicaciones como Minecraft (hay POC sobre esto). Por ello, cualquier aplicación que use SpringBoot con Java, seguramente esté expuesta en este momento.
Si tienes instalada una versión desde la 2.0 a la 2.14.1 eres vulnerable a este RCE. Aunque según cuentan desde Alibaba, el software concreto afectado sería:
Apache Flink
Apache Solr
Apache Druid
Apache Struts2 (recordemos que este ya tuvo su CVE el año pasado)
Un atacante, podría enviar una solicitud maliciosa al servidor atacado a través del protocolo HTTP (Curl, o cualquier otro). El servidor recibiría la solicitud. La versión vulnerable de Log4j permitiría su ejecución, y el servidor atacado realizaría una petición a un servidor del atacante que se "traería" el exploit (fichero culo.class, por ejemplo xD), el cual se inyectaría en el servidor víctima y, por último, ese exploit se ejecutaría:
Para una explicación más completa acerca de la POC, puedes visitar este GitHub.
Cas van Cooten tuiteó el mismo día 10, que simplemente con cambiar el nombre en un iPhone, desencadena dicha vulnerabilidad.
Para detectar este ataque, hay un repositorio de GitHub de cyb3rops con reglas de Yara (herramienta para la detección de malware basada en reglas). Además, se han añadido ya a IDS como Snort o Suricata.
Actualización:
Parece ser que con la versión 2.15.0 de Log4j se corregiría este problema, así que, ya sabes. Si tienes alguna de las versiones afectadas, ¡actualiza ya!
Acabo de terminar la máquina Vulnet:active de THM. Lo primero decir que empiezo a estar cabreado con esta plataforma, me ha llevado muchas horas terminar la máquina porque a pesar de ser VIP y de tener las 2 horas sin terminar, se me apagaba la máquina constantemente.
Si quiere ver como soluciono este reto, te animo a que sigas leyendo.
Acabo de terminar la máquina Temple de THM y tengo que esta máquina es una fumadita del carajo. Creo que es nivel hard como pone en la web, al menos para mí.
Si quieres saber como se resuelve la máquina Zeno de THM, te recomiendo que sigas leyendo.
Hoy la entrada no va sobre soluciones de máquinas, la última certificación que he obtenido ni de Buffer Overflow. Vamos a ver un poco de teoría (¡uhhhh fueraaaa! Teoría caca) sobre los ataques de retransmisión SMB (SMB relay).
Siempre me paro a explicar todo en la práctica, pero creo firmemente que hay que saber de qué se habla en cada caso. Así que, te animo a que sigas leyendo.
Os traigo una solución a una máquina TryHackMe que acabo de terminar hace 5 minutos, así que, aún está caliente xD.
Comparto esta máquina porque se sale un poco de lo convencional teniendo que analizar un fichero con Wireshark, que hacía un tiempo que no tocaba nada. La máquina no es muy difícil, pero la comparto precisamente por salirse "de la norma".
Si quieres saber como se soluciona esta máquina, te recomiendo que sigas leyendo.
Hoy os dejo esta solución a la máqina Alfred de TryHackMe. No es que tenga nada de especial, es más porque se usa metasploit (así lo piden) y como digo al final, a veces por tiempo es necesario. Y además, que narices, en este mundillo hay que saber utilizar todas las herramientas que tengamos al alcance, y esta es una de ellas.
Si quieres saber como se resuelva esta máquina, te recomiendo que sigas leyendo.
En una de tantas plataformas con máquinas para practicar, me he encontrado una que tenía una escalada de privilegios que aún no había visto. Es por esto que comparto esta mini entrada.
Si quieres saber como lo he conseguido, sigue leyendo.
Hoy os quiero compartir un fichero en el que he estado recolectando algunas máquinas de HTB, THM, cursos, vídeos, etc. Además de herramientas imprescindibles y recursos que deberíais conocer.
Si quieres conocer este conjunto de herramientas y demás, sigue leyendo.
Os dejo una nueva entrada sobre BOF, en este caso es una máquina de THM en la que podemos explotar una vulnerabilidad de Buffer Overflow (stack). Además, veremos la forma de enumerar el sistema Windows y la forma de escalar privilegios, que siendo sincero, me ha llevado un buen rato darme cuenta.
Si quieres saber como he resuelto esta máquina, sigue leyendo.
Comenzamos con una nueva entrada
sobre BOF (Buffer Over Flow), en este caso me lio la manta a la cabeza y empiezo
a hacerlo yo solo (es la única forma de aprender xD).
En este caso estoy usando
como software VulnServer. Lo he encontrado rebuscando en Google y
que podéis descargar de su GitHub.
Si quieres saber cuál es la sorpresa, sigue leyendo.
Vuelvo con una entrada de BOF (Buffer OverFlow) en este caso una que podría caer en el exámen del OSCP (eso me han dicho xD).
Antes de nada, dejar claro que esto solo lo tengo a modo de apuntes, es del vídeo de S4vitar https://www.youtube.com/watch?v=sdZ8aE7yxMk el cual os recomiendo encarecidamente que veáis (la lectura es tal cual lo que explica él en el vídeo). Luego no quiero comentarios absurdos, ya lo dejo yo claro desde el primer párrafo.
Si quieres enterarte como hacer esta máquina sigue leyendo.
Si hace muy poco se hablaba por todas las RR.SS sobre la vulnerabilidad de la cola de impresión AKA PrintNightmare (CVE-2021-1675), de la que puedes leer más aquí, ahora la gente de Microsoft se les escapa otra.
En este caso parece que se ha dado permiso de lectura de usuario al fichero SAM y a los archivos del registro SYSTEM y SECURITY, lo que indica que cualquier usuario podría acceder al fichero y conseguir los hashes NTLM.
Si quieres enterarte de todo y ver como lo podemos explotar, sigue leyendo.
Bueno, pues llegó el momento de darle cera al BOF (Buffer OverFlow).
Antes de nada, dejar claro que esto solo lo tengo a modo de apuntes, es del vídeo de S4vitar https://www.youtube.com/watch?v=WNOIFthiX_0 el cual os recomiendo encarecidamente que veáis (la lectura es tal cual lo que explica él en el vídeo). Luego no quiero comentarios absurdos, ya lo dejo yo claro desde el primer párrafo.
Si quieres enterarte como hacer esta máquina sigue leyendo.
Hoy os dejo la resolución de una de las máquinas de HTB de nivel fácil. Es cortita, así que si estás preparado, levanta tu Kali (Parrot, o la que uses) y vamos a ello.
Bueno, después de algo más de un mes, me decido a escribir esta entrada acerca de la certificación de eLearnSecurity, eJPT. Espero que le ayude a alguien.
Antes de nada, si has venido buscando pistas, soluciones o cualquier otro tipo de información sobre el examen, déjame decirte que te has equivocado de sitio. Si por el contrario, te interesa mi opinión, sigue leyendo.
Pues parece ser que esta vulnerabilidad es crítica y que está dando mucho que hablar. En esta entrada vamos a ver una prueba de concepto para ver como un atacante malicioso podría llegar a hacerse System (cuenta con mayor privilegio en Windows). Si quieres saber como lo hacemos, sigue leyendo!
Después de unos meses liado con certificaciones, laboratorios, máquinas de HTB y de TryHackme y de lecturas de PDF sobre Active Directory, vuelvo a escribir (y a ver si saco tiempo para volver a escribir periodicamente). En este caso os dejo la solución de la máquina Granny de HackTheBox. Si quieres ver como la resuelvo, ¡sigue leyendo!
Hoy vamos a completar la última entrada que vimos sobre como montar un "laboratorio" para explotar un LFI. Antes de nada, te recomiendo que si no has leído la entrada que te comento, lo hagas, ya que si no, va a ser difícil que entiendas lo que vamos a ver a continuación.
Si quieres saber como convertir un LFI en un REC, quédate y dale a leer más.
Hoy traigo una entrada de como explotar un LFI, pero montandonos nuestro propio "laboratorio". Así, por una parte, no tenemos que acceder a ninguna web tipo HTB y, por otra, aprendemos que es lo que ocurre por detrás del ataque.
Si quieres saber como puedes montar este mini laboratorio y aprender a explotar un LFI desde cero, quédate y dale a leer más.
Hola a tod@s. Hoy os dejo una entrada rápida para aquell@s que hayáis tenido problemas con metasploit en Kali 2020 (no sé si pasa en la versión de este año).
Si quieres saber como solucionar este problema que no permite ejecutar metasploit, quédate aquí y dale a "seguir leyendo".
Después de unos días sin publicar nada, dedicado al estudio (de hacking y otros temas), he descubierto una web que me ha gustado bastante, es https://attackdefense.com/. En ella tienes varios laboratorios de diversos tipos para que pruebes tus habilidades y/o conocimientos de hacking.
Si quieres ver de que va esto, quédate y a continuación, te lo muestro.
Otra máquina de la gente de VulnHub para realizar el tutorial. En este caso el creador nos indica que la máquina es de nivel medio-avanzado y que no responde a ping, así que debemos revisar el DHCP. También nos dice que el objetivo es hacernos con una shell de root.
Ya solo nos quedan 3 laboratorios de la gente de PortSwigger, quitando el que vamos a hacer ahora. Como os vengo diciendo, si no habéis leído las entradas anteriores, podéis hacerlo desde aquí.
Bien, en esta ocasión empezamos a utilizar algunas herramientas chulas que trae Burp, así que, si aún no lo tienes, te recomiendo que lo descargues.
Seguimos con la parte de explotación de una SQLi, pero a mano. Te recomiendo que si aún no has leído las entradas anteriores, lo hagas, ya que se empieza de cero y te van a ayudar a entender mejor lo que vamos a ver.
Vamos ya con la quinta parte de la "saga" SQLi, como explotarlo a mano. Si aún no has leído las entradas anteriores, te recomiendo que pinches aquí para leerlas y practicar antes de ponerte con este lab, ya que estamos en una parte algo más avanzada.
Hoy quiero seguir la racha de las entradas sobre las máquinas de VulnHub, que parece que le he cogido el gustillo. En este caso, la máquina se llama Money Heist y el autor nos dice que la dificultad no está disponible... me temo lo peor xD.
Sigo resolviendo máquinas de la gente de VulnHub, en este caso entro con la primera máquina (tiene otra) de HackMe. Según el autor es para principiantes, pero indica que está basada en lo que te puedes encontrar en la vida real, así que, comencemos.
Vamos con otra máquina de VulnHub, en este caso y0usef, que supuestamente es fácil, aunque ya sabemos que aquí nada es fácil, todo es cuestión de dar con la tecla justa que te abre un puerto, subir una reversa a tiempo, etc. Bueno, que no me enrollo, vamos a por la máquina.
Volvemos de nuevo con otra de las máquinas de la gente de VulnHub. En este caso la máquina es DevGuru que según su creador es de "nivel intermedio dependiendo de la experiencia xD.
Espero que no sea una ida de pinza, que parece que va a ser algo normal y luego la cosa se pone tensa (como dice S4vitar) y no hay quien de con ello.
Si pensabas que me había olvidado de la parte manual sobre cómo explotar inyecciones SQL a mano, según lees esto, te estarás dando cuenta que no es así xD. De hecho, vamos con la parte número cuatro de esta "saga".
Te recuerdo que puedes leer aquí la entrada III, o si quieres comenzar de cero, puedes ver esta serie de entradas sobre el tema.
Hola de nuevo. Vamos con la solución al reto de VulnHub “NullBite”.
Según su autor, va de nivel principiante a intermedio y nos dice que debemos usar el pensamiento lateral y quizá tengamos que escribir algo de código. Es por eso que me decido a coger este reto, a ver si soy capaz de realizarlo.
Bueno, después de este título a tope de hype, voy a dejar un PDF que escrbí en 2018 para auditar una APK de Android llamada DIVA (Damn insecure vulnerable App). Si, ya sé que es de 2018, pero si estás empezando, seguro que te va a venir bien. Como se suele decir, el saber no ocupa lugar.
Hace unos días compré en Amazon la tarjeta TP-Link TL-WN722N y fui incapaz de ponerla en modo monitor, siempre me daba un error. Investigando en Google, vi que alguien decía que a él le funcionaba perfectamente... Después de revisar las imágenes de su blog, me di cuenta que usaba Kali 2019 v3 y no la 2020 v4 como tenía yo, así que me pegué un rato buscando versiones viejas de Kali, hasta que dí con la 2019V2.
Volvemos con otro WriteUp de la gente de VulnHub. En este caso se trata de “The Necromancer”. El autor de la máquina nos indica que debemos obtener 11 flags para pasar el CTF y que el nivel es de principiante (veremos…).
Como de costumbre comenzamos lanzando un nmap a la red para ver cuál es la IP de la máquina a atacar, lo cual no me devuelve ningún resultado ni en los 1000 habituales ni en los 65550 y esto me recuerda a otra máquina que tenía un netcat abierto esperando conexión, así que igual que hice en aquella máquina, me abro Wireshark y lo dejo a la escucha.
Rápidamente observo que efectivamente hay un paquete en Wireshark que me indica que el puerto 4444 está ahí esperándome xD. Así que si le abro un netcat debería pasar algo, ¿no?
Esto tiene pinta de Base64, así que vamos a por ello. Hace poco aprendí que desde consola se podía “decodear” directamente sin hacer uso de webs ni nada por el estilo, así que…
El uso es muy sencillo, solo hay que poner:
echo “caracteres en base64” |base64 --decode.
Lo que me devuelve algo como una historia típica de cuentos de aventuras y al final me devuelve el flag n.º 1: e6078b9b1aac915d11b9fd59791030bf que aunque a priori me da la sensación de que puede ser código hexadecimal, no lo es, pero si un hash en MD5 que me devuelve opensame.
Lo que sí me llama la atención es la pista final con el u666. Después de un rato me doy cuenta que quizá nmap no sacaba nada porque estaba tirando contra TCP y es UDP.
Ahora sí, ya veo que el puerto 666 (muy bueno xD) está abierto. Pruebo un netcat por UDP y me devuelve otro mensaje.
¿Ya se me acaba el tiempo? si acabo de empezar xD. Tardo un rato en revisar documentación sobre netcat para ver como puedo pasarle la clave a la IP de la máquina por el puerto 666.
Al final descubro que con:
echo "opensesame" | nc -u 192.168.56.101 666
Se puede, y esto me devuelve otra nueva “historia”.
De lo que sacamos en flag 2: c39cd4df8f2e35d20d92c2e44de5f7c6 y que se cierra el puerto 666 y se abre el 80, o eso he querido entender yo xD.
De nuevo otra mini historia. Como siempre, reviso el código y me guardo la imagen para procesarla. Esta vez me guardo la de la página principal y la que aparece en el código que apunta a <img src="/pics/pileoffeathers.jpg">.
Pues esta vez en el código no veo nada, y con stegfile y exiftool nada de nada. Después de un par de minutos pensando se me ocurre pasar las imágenes por foremost con el mismo resultado en ambas, lo que, además de encontrar lo que podría ser un fichero, doy por seguro que la imagen es la misma con distinto nombre.
Parece que tenemos otro chorizo alfanumérico en Base64:
Lo que nos devuelve el flag 3: 9ad3f62db7b91c28b68137000394639f además del texto:
- Cross the chasm at /amagicbridgeappearsatthechasm
Le iba a tirar Dirbuster a ver que sacaba, pero si no me equivoco, la última parte parece una carpeta de la web. Veamos.
Una vez más estaba en lo cierto y para variar, nos devuelve otra parte de la historia y una nueva imagen.
Veamos si la imagen tiene algo. Pues nada, parece que esta vez no está en la imagen. Me pongo a releer el último “capítulo” de la historia a ver si saco algo en claro. Lo único que me llama la atención es la última frase “There must be a magical item that could protect you from the necromancer's spell” que dice algo así como “Tiene que haber un objeto mágico que podría protegerte del hechizo de la nigromante”. Esto me recuerda a cuando jugué antaño alguna partida de rol, pero no sé a qué se refiere con “magical item” no sé si será un objeto, alguna palabra…
Hago la siguiente búsqueda en Google para ver si me sugiere algo.
Después de visitar algunas páginas me creo un diccionario con términos en inglés sobre temas de juegos de rol, magia, nigromancia etc.
Al revisar la URL que me había devuelto junto con el tercer flag, me doy cuenta que está formado por palabras unidas, así que quizá sea así como he de crear el diccionario. Lo que sí parece seguro es que será en minúsculas. Toca reestructurar.
Y así hasta 329 palabras que me llevan más de media hora escribir a mano xD, y encima esto para una auditoría dudo que valga…
Finalmente, se lo paso a Burp a través del intruder.
Pues he triunfado como los chichos xD. Lo que buscaba era talismán. Voy al navegador para poner esta nueva URI y me salta la descarga de un binario, ya estamos con los binarios…
Rápidamente le tiro un file al binario talismán y veo que está escrito en C.
Después de un rato pegándome con el dichoso binario y con C me doy cuenta que mi Kali es x64 y el binario está escrito para arquitecturas de 32 bits y como no tengo ninguna máquina de 32 bits, me toca montarme una con la considerable pérdida de tiempo. Al menos ya la tengo para otra vez.
Al final el proceso es:
gdb talisman arranca gdb contra el binario.info functions devuelve por pantalla información de las funciones. break wearTalisman run inicia el programa.
Y al final del proceso, nos devuelve el flag 4: ea50536158db50247e110a6c89fcf3d3
You fall to your knees. weak and weary. Looking up you can see the spell is still protecting the cave entrance. The talisman is now almost too hot to touch! Turning it over you see words now etched into the surface: flag4{ea50536158db50247e110a6c89fcf3d3} Chant these words at u31337
Parece que nos dice que usemos ese flag en el puerto UDP 31337.
Confirmamos que está abierto mediante nmap.
Igual que hiciera anteriormente, pruebo con un echo a ver si conecto usando el valor del flag.
ea50536158db50247e110a6c89fcf3d3 Solo que esta vez no funciona. Mirando en google veo que es un hash en MD5.
Ahora si, uso: echo "blackmagic" | nc -nv -u 192.168.56.101 31337 Lo que nos devuelve otro capítulo de la historia.
Obtenemos otro directorio de la web /thenecromancerwillabsorbyoursoul y el flag número 5:
0766c36577af58e15545f099a3b15e60
Esta vez me aseguro de que no sea otro hash que nos devuelva una palabra y así es.
Al poner la nueva ruta me aparece el flag 6:
b1c3ed8f1db4258e4dcb0ce565f6dc03
Y otro texto. Este tampoco parece que esconda nada.
Lo que si me devuelve es la descarga de otro fichero.
Una vez más al final del texto aparece u161, de nuevo tiene pinta de que sea el puerto UDP 161. Lo corroboro nuevamente con nmap.
Antes de continuar, guardo la foto y la paso por foremost, exiftool y steghide por si las moscas. No parece contener nada, así que continúo con el nuevo binario, que en realidad parece ser un fichero bzip2. Después de un rato consigo averiguar que había que descomprimir el fichero con bzip2 y además con tar para llegar al fichero necromancer.cap, el cual abro con Wireshark, pero me doy cuenta enseguida de que el un fichero con paquetes de WiFi. Me da la impresión que va a haber una clave por ahí.
Vamos a darle chicha con AirCrack a ver si obtengo lo que busco.
Pues ha funcionado y nos devuelva la palabra death2all, esto ya parece un disco de Metallica xD. Pruebo como en ocasiones anteriores con echo "death2all" | nc -nv -u 192.168.56.101 161, pero esta vez no ocurre nada.
De alguna auditoría me viene a la memoria algo parecido y usando metasploit creo que podría dar con ello.
Pues tampoco es que haya sacado mucho. Si pruebo con snmpwalk me devuelve lo mismo en distinto orden xD.
He de reconocer que en este punto me atasqué bastante, pero no hay nada como buscar la información oficial para llegar a una buena conclusión. **Referencias1 y 2.
Solo hay que pasarle el parámetro -c con la string death2allrw la versión -v del protocolo snmp que se usa y la IP de la máquina.
Después de lanzar snmpset, si vuelves a lanzar snmpwalk puedes ver los cambios. Ahora está desbloqueado, sigamos.
Lo que nos devuelve el flag 7: 9e5494108d10bbd5f9e7ae52239546c4 y -t22 lo cual me da la sensación de que va a ser SSH (puerto 22 TCP). Esta vez sí que es un hash que devuelve: demonslayer.
Vamos a ver si conectamos por el puerto 22 al SSH con la pass demonslayer y el usuario (supongo) será root.
Pues me he colado pero bien, ni el usuario es root, ni la pass es demonslayer. Quizá el usuario es demonslayer y hay que sacar la contraseña. Veamos con medusa. Me creo un mini diccionario con las 25 peores contraseñas para este caso.
No sé por qué intuía que la contraseña sería algo sencillo, en todos los retos según te vas acercando al final, todo se vuelve más fácil.
Pero esto no se ha terminado, parece ser que (obviamente) no soy root. Después de hacer un ls y un cat al fichero flag8.txt me devuelve otro texto.
Pues nada, de nuevo nos indica, como ya es costumbre, que miremos el puerto UDP 777, pero si tiramos un nmap, en este caso nos devuelve lo siguiente.
En cambio, con un ps aux y un grep al 777 (y un top) podemos ver que la cosa cambia.
Además, con un netcat al puerto 777 dentro de la propia máquina podemos ver lo siguiente.
jajajaja brutal!! Eso pasa por darle a intro sin leer como un loco. Me ha encantado.
Cojonudo, ni siquiera deja conectar por SSH xD.
Me ha cerrado hasta el puerto jajaja. La verdad que el tío se lo ha currado.
Ya fuera coñas, te toca reiniciar la máquina y volver a realizar todo el proceso (ni puta gracia) o al menos yo no he podido hacerlo sin reiniciar.
Mientras, busco en google sobre la pregunta “Where do the Black Robes practice magic of the Greater Path?” y en la primera entrada se puede leer sobre el tema. Parece que hay que responder Kelewan a la primera pregunta.
Para la segunda pregunta, ¿“Who did Johann Faust VIII make a deal with?” la respuesta es Mephistopheles.
Y para la última, ¿“Who is tricked into passing the Ninth Gate?” la respuesta es Hedge.
Una vez que hemos respondido a las tres preguntas solo nos resta hacer un sudo -l.
Nos devuelve un comando para lanzarlo como root.
Y por fin nos da el flag 11: 42c35828545b926e79a36493938ab1b1 que, de paso, por si las moscas, busqué el hash en google y devuelve: hackergod
Aquí dejo la solución a uno de los retos de VulnHub, en este caso la máquina se llama Violator. Su creador nos dice que hay un disco duro al que puedes bruteforcear con cariño xD. Además, nos deja una serie de pista a la hora de lograr completar la máquina.
Vince Clarke can help you with the Fast Fashion.
The challenge isn't over with root. The flag is something special.
I have put a few trolls in, but only to sport with you.
Como vemos, en una de ella nos dice que no vale con ser root, hay un flag especial…
Esta vez no veo por ningún lado el nivel de la máquina, así que espero que no sea demasiado difícil.
Como ya es costumbre, comienzo con un nmap a la IP de la máquina a atacar para ver que puertos/servicios tiene.
De momento veo que tiene dos puertos abiertos, el 21 (FTP) y el 80 (Apache). Me quiere sonar que el ProFTP tiene vulnerabilidades conocidas, pero primero vamos a echar un vistazo a la parte web, abriendo primero Burp para controlar las peticiones, a ver que vemos.
El gallo Claudio jajaja, muy buen comienzo, ya me ha ganado xD.
Si nos fijamos en el pie de la web (no se ve en la imagen anterior) nos deja un link a la Wikipedia, donde nos habla del album Violator de Depeche Mode. No me gusta demasiado el grupo, pero tengo buenos recuerdos de alguna canción… Igual nos toca volver a por alguna pista.
Además, por si acaso, me descargo la imagen para ver si oculta algo, aunque a priori no parece tener nada.
Bueno, volvamos al ProFTP. Abro metasploit y entro a:
exploit/unix/ftp/proftpd_modcopy_exec
Configuro el host remoto, el “sitepath” y lo ejecuto. Voilà! obtengo una sesión.
Tengo pocos privilegios, pero los suficientes para ver el fichero passwd xD.
Veo que he encontrado tres usuarios, Martin Gore, Andrew Fletcher, Dave Graham y Alan Wilder, que casualmente son los nombres de los componentes de Depeche Mode xD.
Un rápido vistazo al home de los usuarios me muestra algunos ficheros que parecen suculentos. En el home de Matin Gore encuentro esto.
En el de Alan Wilder parece que hay una pista.
En el de Andrew Fletcher encuentro un programa.
Y, por último, en el de Dave Graham,
Bueno, después de revisar todo lo que hay en los perfiles voy a tirar algo de fuerza bruta contra los usuarios, en particular me interesa Dave Graham.
Se me ocurre crear un diccionario con los nombres de todos los discos a ver si fuese alguna de las contraseñas (en qué hora xD), esta gente tiene más discos que nadie.
Y así hasta 158 líneas con los nombres de los discos, sencillos, videos, etc. Como eso es un culo quito los espacios en blanco y cambio las mayúsculas por minúsculas.
Bien, teniendo ya el fichero de usuarios y contraseñas listo, vamos a darle cera. Le tiro a la vez con Hydra y con medusa, a ver cuál es más rápido.
Pues bastante menos tarda Hydra. En lo que Medusa llevaba seis minutos sin sacar nada, Hydra en el primer minuto ya ha sacado tres.
¡Perfecto! ya tengo el login de los tres usuarios:
login: dg password: policyoftruth
login: af password: enjoythesilence
login: mg password: bluedress
Teniendo ya la contraseña de dg, vamos a hacer login
Veamos qué esconde el proFTP con un proftpd -vv al directorio donde se encuentra.
Versión 1.3.3c esa creo que tiene chicha. Me voy a crear una shell reversa en .php con msfvenom y se la intento subir por el ftp.
Una vez que he subido la shell reversa, me abro metasploit y uso use exploit/multi/handler y configuro lport y lhost como en la shell (2222 y 192.168.214.19) y lo lanzo. Desde la parte de la web, llamamos a la shell para que se produzca la conexión. En ese momento nos abre una consola de meterpreter.
Le pido una shell y hago un portforwading.
Ahora podemos acceder por FTP…
Me creo un fichero en /tmp llamado culo y después le añado la línea como se ve en la imagen.
