Aquí dejo la solución a uno de los retos de VulnHub, en este caso la máquina se llama Violator. Su creador nos dice que hay un disco duro al que puedes bruteforcear con cariño xD. Además, nos deja una serie de pista a la hora de lograr completar la máquina.
- Vince Clarke can help you with the Fast Fashion.
- The challenge isn't over with root. The flag is something special.
- I have put a few trolls in, but only to sport with you.
Como vemos, en una de ella nos dice que no vale con ser root, hay un flag especial…
Esta vez no veo por ningún lado el nivel de la máquina, así que espero que no sea demasiado difícil.
Como ya es costumbre, comienzo con un nmap a la IP de la máquina a atacar para ver que puertos/servicios tiene.
De momento veo que tiene dos puertos abiertos, el 21 (FTP) y el 80 (Apache). Me quiere sonar que el ProFTP tiene vulnerabilidades conocidas, pero primero vamos a echar un vistazo a la parte web, abriendo primero Burp para controlar las peticiones, a ver que vemos.
El gallo Claudio jajaja, muy buen comienzo, ya me ha ganado xD.
Si nos fijamos en el pie de la web (no se ve en la imagen anterior) nos deja un link a la Wikipedia, donde nos habla del album Violator de Depeche Mode. No me gusta demasiado el grupo, pero tengo buenos recuerdos de alguna canción… Igual nos toca volver a por alguna pista.
Además, por si acaso, me descargo la imagen para ver si oculta algo, aunque a priori no parece tener nada.
Bueno, volvamos al ProFTP. Abro metasploit y entro a:
exploit/unix/ftp/proftpd_modcopy_exec
Configuro el host remoto, el “sitepath” y lo ejecuto. Voilà! obtengo una sesión.
Tengo pocos privilegios, pero los suficientes para ver el fichero passwd xD.
Veo que he encontrado tres usuarios, Martin Gore, Andrew Fletcher, Dave Graham y Alan Wilder, que casualmente son los nombres de los componentes de Depeche Mode xD.
Un rápido vistazo al home de los usuarios me muestra algunos ficheros que parecen suculentos. En el home de Matin Gore encuentro esto.
En el de Alan Wilder parece que hay una pista.
En el de Andrew Fletcher encuentro un programa.
Y, por último, en el de Dave Graham,
Bueno, después de revisar todo lo que hay en los perfiles voy a tirar algo de fuerza bruta contra los usuarios, en particular me interesa Dave Graham.
Se me ocurre crear un diccionario con los nombres de todos los discos a ver si fuese alguna de las contraseñas (en qué hora xD), esta gente tiene más discos que nadie.
Y así hasta 158 líneas con los nombres de los discos, sencillos, videos, etc. Como eso es un culo quito los espacios en blanco y cambio las mayúsculas por minúsculas.
Bien, teniendo ya el fichero de usuarios y contraseñas listo, vamos a darle cera. Le tiro a la vez con Hydra y con medusa, a ver cuál es más rápido.
Pues bastante menos tarda Hydra. En lo que Medusa llevaba seis minutos sin sacar nada, Hydra en el primer minuto ya ha sacado tres.
¡Perfecto! ya tengo el login de los tres usuarios:
| login: dg password: policyoftruth |
| login: af password: enjoythesilence |
| login: mg password: bluedress |
Teniendo ya la contraseña de dg, vamos a hacer login
Veamos qué esconde el proFTP con un proftpd -vv al directorio donde se encuentra.
Versión 1.3.3c esa creo que tiene chicha. Me voy a crear una shell reversa en .php con msfvenom y se la intento subir por el ftp.
Una vez que he subido la shell reversa, me abro metasploit y uso use exploit/multi/handler y configuro lport y lhost como en la shell (2222 y 192.168.214.19) y lo lanzo. Desde la parte de la web, llamamos a la shell para que se produzca la conexión. En ese momento nos abre una consola de meterpreter.
Le pido una shell y hago un portforwading.
Ahora podemos acceder por FTP…
Me creo un fichero en /tmp llamado culo y después le añado la línea como se ve en la imagen.
0 comentarios:
Publicar un comentario