📚
Securiters Wiki
  • 👋Índice
  • 🐣Conceptos Básicos
  • 🔍OSINT
    • Empresas
    • Personas
    • SOCMINT
    • URLs / IPs
  • 🕸️Web
    • 1. Recolección de información
    • 2. Enumeración y descubrimiento
    • 3. Configuración del servidor
    • 4. Entrada de datos
    • 5. Fuerza bruta
    • 6. Autenticación y autorización
    • 7. LFI/RFI
    • 🧞‍♂️CMS
  • 🐢APIs
  • ☎️Móviles
    • 👾Android
    • Analisis Estatico Android
    • Analisis Dinamico Android
    • 📱iOS
    • Jailbreak
    • Analisis Estatico iOS
    • Analisis Dinamico iOS
  • 🎯Internas
    • 🐧Linux
    • 🏹AD
      • Enumeracion
      • Mimikatz & PassTheHash
      • Local Privilege Escalation
      • PE - AS-REPRoast
      • PE - DNSAdmin
      • PE - Kerberoast
      • PE - Trusts
      • PE - Delegations
      • Persistencia - ACLs
      • Persistencia - Kerberos & Tickets
  • 📶Wifi
    • WEP
    • WPS
    • Redes PSK
    • Redes MGT
    • Redes ocultas
  • ⚔️Pentesting / Red team
    • Windows
      • Enumeración
      • Elevación de Privilegios
    • Linux
      • Enumeración
      • Elevación de Privilegios
    • Shells
  • 🛡️Blue Team
  • 📡Puertos & Servicios
    • 21 - FTP
    • 22 - SSH
    • 23 - Telnet
    • 25 - SMTP
    • 53 - DNS
    • 79 - Finger
    • 80 - HTTP
    • 88 - Kerberos
    • 110 - POP3
    • 111 - RPC
    • 123 - NTP (UDP)
    • 135 - MSRPC
    • 139 - Netbios-ssn
    • 143 - IMAP
    • 161/162 - SNMP
    • 389 - LDAP
    • 443 - HTTPS
    • 445 - SMB
    • 464 - kpasswd5
    • 500 - IPSec/IKE VPN
    • 587 - SMPT STARTTLS
    • 623 - IPMI
    • 631 - CUPS
    • 636 - LDAP
    • 1433/1434 - MS SQL Server
    • 1521 - OracleDB
    • 1720 - VoIP - SIP
    • 1900 - UPnP
    • 2049 - NFS
    • 3306 - MySQL
    • 3389 - RDP
    • 4500 - IPSec (UDP)
    • 5357 - WSDAPI
    • 6379 - Redis
    • 6697 - IRC
    • 8009 - Apache Jserv
    • 8080 - HTTP Alt
    • 8500 - Adobe Coldfusion
    • 10000 - Webmin
    • 49981 - System Management Hub
    • 50000 - SAP
  • 🎣Phishing
  • 🐛Bug Bounty
  • ☁️Cloud
    • AWS
    • Azure
  • 🪲Malware
  • 👻Forense
  • 🛠️Tools & Scripts
    • BloodHound
    • Burp Suite
    • Enum4linux
    • Frida
    • Apps Móviles
      • ADB
      • Objection
    • Wireshark
    • Transferencia de ficheros
    • Libros de hacking
    • Addons
    • 🐧WSL
  • ⛳Practicar
  • 🧙‍♂️Certificaciones
    • Repaso CRTP
    • Repaso OSCP
      • 1. Enumeración
      • 2. Vector de entrada
      • 3. Obtención de credenciales
      • 4. Spraying
      • 5. Movimiento lateral
      • 6. Siguientes pasos
  • 📜Recursos en Telegram
  • 🔊Congresos de ciberseguridad
  • 🗣️Entrevistas realizadas
  • 🎤Charlas y Eventos
  • 👣WRITE-UPS
    • 📗Hack The Box
      • 🟢Return
      • 🟢Love
      • 🟢GoodGames
      • 🟢ToolBox
      • 🟢Traverxec
      • 🟢Granny
      • 🟢Jerry
      • 🟢Networked
      • 🟢Arctic
      • 🟢Mirai
      • 🟢Bashed
      • 🟢TwoMillion
      • 🟠Chaos
      • 🟢Validation
      • 🟢Antique
      • 🟢Busqueda
    • 📗Proving Grounds
      • 🟢MoneyBox
      • 🟢Gaara
      • 🟢InfoSec Prep
      • 🟢DC-1
      • 🟢SunsetNoontide
      • 🟢Shakabrah
      • 🟢Ha-Natraj
      • 🟢Monitoring
      • 🟢DriftingBlues6
      • 🟢PyExp
      • 🟢OnSystemShellDredd
      • 🟢Blogger
      • 🟢Dawn
      • 🟢DC-2
      • 🟢FunboxEasy
      • 🟢Sumo
      • 🟢Inclusiveness
      • 🟢FunboxEasyEnum
      • 🟢Potato
      • 🟢Solstice
      • 🟢SunsetDecoy
      • 🟢Lampiao
      • 🟢Vegeta1
      • 🟢Katana
      • 🟢BBSCute
      • 🟢Sar
      • 🟢EvilBox-One
      • 🟢Seppuku
      • 🟢Funbox Rookie
      • 🟢Photographer
      • 🟢CyberSploit1
      • 🟢Amaterasu
      • 🟠Pwned1
      • 🟠My-CMSMS
      • 🟠ICMP
      • 🟠DC-9
      • 🟠SunsetMidnight
      • 🟠Election1
      • 🟠DC-4
      • 🟠Stapler
      • 🟠BTRSys2.1
      • 🟠Assertion101
      • 🟠Loly
      • 🟠SoSimple
      • 🟠Tre
      • 🟠Funbox
      • 🟠NoName
      • 🔴GlasgowSmile
      • 🔴InsanityHosting
      • 🔴Djinn3
      • 🟠CTF SunsetMidnight
Powered by GitBook
On this page
  • Enumeración
  • Explotación
  • Elevación de privilegios

Was this helpful?

  1. WRITE-UPS
  2. Proving Grounds

Lampiao

Write-up de la máquina Lampiao de Proving Grounds #writeup #walkthrough

PreviousSunsetDecoyNextVegeta1

Last updated 1 year ago

Was this helpful?

Enumeración

Servicios abiertos

Vamos a comenzar enumerando los puertos que tiene abiertos la máquina "Lampiao"

nmap -p- --open --min-rate 2000 -Pn -n -vvv 192.168.209.48

Puerto 22, 80 y 1898 abiertos. Seguimos con el escaneo profundo de estos servicios.

nmap -p22,80,1898 -sVC -Pn -n -vvv 192.168.209.48

Servicios abiertos:

  • Puerto 22 -> SSH -> OpenSSH 6.6

  • Puerto 80 -> HTTP -> ?

  • Puerto 1898 -> HTTP -> Apache httpd 2.4.7

También vemos que estamos ante un CMS Drupal y que existe un archivo robots.txt con 36 entradas, algunas parecen interesantes.

Enumración Web

Comenzamos enumerando el contenido del puerto HTTP.

Enumerando por el sitio Web, encontramos dos nombres de usuario: tiago y Eder.

Vamos a enumerar directorio y archivos interesantes, y por otro lado, sabiendo que es un CMS, vamos a realizar un escaneo automatizado con la herramienta "droopescan".

feroxbuster --url http://192.168.209.48:1898

Pero no hay nada interesante que nos permita avanzar.

droopescan scan -u http://192.168.209.48:1898/

Obtenemos la versión del CMS y que ejecuta Drupal.

Explotación

Método 1 (Drupalgeddon con Metasploit)

searchsploit drupal 7.5.4

Vamos a la herramienta "Metasploit" y buscamos este exploit.

Configuramos el exploit seleccionado.

Y ejecutamos. Tras unos instantes, tendremos acceso a la máquina víctima como "www-data".

Buscamos usuarios en el sistema.

Dentro del directorio "tiago", encontramos la flag local.txt

Método 2 (Brute Force SSH)

En la enumeración inicial del sitio Web, encontramos el nombres de dos posibles usuarios. Al mismo tiempo, recordamos que se está ejecutando un servicio SSH en el puerto 22. Vamos a realizar un ataque de fuerza bruta para tratar de localizar la contraseña de este servicio para alguno de los dos usuarios. Otra cosa que vamos a hacer es crear una lista de palabras a partir del contenido del sitio Web que utilizaremos como lista de contraseñas.

Para crear la lista de contraseñas, ejecutamos de la siguiente manera:

cewl http://192.168.209.48:1898/?q=node/1 -w passwords.txt

Creamos también una lista con el nombre de los dos usuarios.

Para ejecutar el ataque de fuerza bruta, utilizaremos "medusa"

medusa -h 192.168.209.48 -M ssh -U users -P passwords.txt -t 40 -f 2>/dev/null

Tras un momento, obtenemos contraseña para el usuario "tiago".

Las credenciales SSH son "tiago:Virgulino"

Ahora tratamos de iniciar sesión con estas credenciales aprovechando el servicio SSH.

Volvemos a buscar la flag local.txt

Elevación de privilegios

Una vez tenemos acceso a la máquina víctima, el siguiente paso será la elevación de privilegios. Comenzamos enumerando que binarios puede ejecutar el usuario "tiago" como "root" sin contraseña.

sudo -l

"tiago" no puede ejecutar "sudo". Enumeramos archivos con permiso SUID. Pero no hay nada interesante. Vamos a enumerar la versión de Linux y kernel que se están ejecutando en el sistema. 

cat /etc/*release
scp les.sh tiago@192.168.209.48:/home/tiago

Si consultamos el directorio del archivo "tiago" ya podemos ver el script. Damos permisos de ejecución, y ejecutamos el script.

chmod +x les.sh
./les.sh
scp 40847.cpp tiago@192.168.209.48:/home/tiago

Compilamos el archivo.

chmod +x 40847.cpp
g++ -Wall -pedantic -02 -std=c+11 -pthread -o dcow 40847.cpp -lutil

Ejecutamos el exploit generado.

./dcow -s

Ya tenemos acceso a la máquina objetivo con permisos máximos. Vamos a por la flag proof.txt

Cargamos en la máquina víctima el script "". Lo vamos a cargar utilizando la función "scp" para enviar el archivo a través de SSH.

La máquina objetivo es vulnerable a "DirtyCow". Vamos a probar . Descargamos en nuestra máquina. Una vez completada la descarga, enviamos el exploit al objetivo haciendo uso de nuevo de la función "scp" para enviar el archivo a través de SSH.

👣
📗
🟢
Linux Exploit Suggester
este