Documentos de Académico
Documentos de Profesional
Documentos de Cultura
IP 10.10.10.233
1. FASE DE ENUMERACION
Se realiza una búsqueda de puertos abiertos que contenga esta máquina con NMAP:
Si se tiene instalado en el navegador Firefox el plugin WAPALIZER nos podemos dar cuenta que esta
máquina utiliza como CMS a DRUPAL en su versión 7, lo mismo puede ser identificado con la
herramienta WHATWEB:
whatweb 10.10.10.233
1/5
Para poder extraer información sensible o de interés del CMS DRUPAL, y para continuar con la
penetración a esta máquina, se puede hacer uso de la herramienta DROOPESCAN, ejecutando el
siguiente comando:
El archivo CHANGELOG.txt nos da información de la versión de Drupal que está instalada, en este caso:
Drupal 7.56, 2017-06-21
2. BUSQUEDA DE UN EXPLOIT
Se utilizará el exploit identificado como 44449.rb para obtener una shell, el cual copiamos a nuestro
directorio con el comando: searchsploit -m 44449
Como se puede observar, el archivo tiene la extensión “.rb” el cual nos indica que fue creado en lenguaje
RUBY, por lo tanto, se ejecuta de la siguiente manera y agregando el enlace (IP) que corresponde a la
máquina que se desea vulnerar (Armageddon).
Al ejecutar el exploit anterior, se crea una shell con la que podemos interactuar para revisar el listado de
usuarios del sistema ejecutando el comando:
cat /etc/passwd
2/5
Observamos la existencia de un usuario que puede ejecutar una shell; pero, se necesita encontrar su
password, se intentó acceder al directorio donde se encuentran los hashes correspondientes a los
passwords, pero, no se cuenta con los privilegios necesarios para hacerlo, de tal manera que se utilizará la
herramienta HYDRA para realizar un ataque de fuerza bruta a través del servicio SSH que sabemos está
habilitado según el resultado del escaneo realizado con NMAP.
ssh brucetherealadmin@10.10.10.233
NOTA: Debido a que la máquina ARMAGEDDON esta aun activa en la plataforma HACK THE BOX,
solo se mostraran los primeros caracteres que contiene la Flag de usuario, lo mismo se aplicara
después cuando se realice la captura de la Flag de Root:
3/5
Luego se verifica que comandos puede ejecutar el usuario “brucetherealadmin” con el que accedimos a
esta máquina:
Realizando una búsqueda con Google podemos ver que se puede realizar una escalación de privilegios a
través de SNAP, para lo cual se nos presenta como resultado la existencia de un script en python en cuyo
contenido existe un exploit codificado en base64 que es el que nos dará acceso como usuario con
máximos privilegios (root), el script se encuentra en el siguiente enlace:
https://github.com/initstring/dirty_sock/blob/ master/dirty_sockv2.py
Ejecutamos el comando CAT para visualizar lo que contiene el archivo creado (root.snap)
hsqs!V\�������������>x#!/bin/bash
useradd dirty_sock -m -p
'$6$sWZcW1t25pfUdBuX$jWjEZQF2zFSfyGy9LbvG3vFzzHRjXfBYK0SOGfMD1sLyaS97AwnJUs7gDCY.f
g19Ns3JwRdDhOcEmDpBVlF9m.' -s /bin/bash usermod -aG sudo dirty_sock
echo "dirty_sock ALL=(ALL:ALL) ALL" >> /etc/sudoers
name: dirty-sock
version: '0.1'
summary: Empty snap, used for exploit
description: 'See https://github.com/initstring/dirty_sock
'
architectures:
→ amd64
confinement: devmode
grade: devel
4/5
Podemos observar que lo que hará el archivo creado al momento de ser ejecutado es crear el usuario
“dirty-sock”, el cual tendrá todos los privilegios (ALL):
Ejecutamos SUDO -S
We trust you have received the usual lecture from the local System Administrator. It usually boils
down to these three things:
TRY HARDER!!!
5/5