Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • PHP

    Cargado por

    EDUARDO FELIPE RAMIREZ INFANTES
    6 vistas37 páginas
    Hacking Etico

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    Hacking Etico

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    6 vistas37 páginas

    PHP

    Cargado por

    EDUARDO FELIPE RAMIREZ INFANTES
    Hacking Etico

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 37

    Debemos encontrar 2 banderas.

    Primero, a partir de un escaneo de puertos pude saber que


    había un servidor web que alojaba un sitio web cuyas funcionalidades y formularios no estaban
    operativos. Luego, analizando los scripts JavaScript que se cargan en el sitio web, encontramos
    el dominio del sitio web y un subdominio cuyo directorio raíz está siendo protegido por un
    login. Además, se logró encontrar un parámetro GET vulnerable a “LFI” que me permitió
    observar el contenido del archivo “000-default.conf” que contiene la ruta del archivo
    “.htpasswd”, logrando obtener las credenciales para acceder al directorio raíz del subdominio
    en el archivo “.htpasswd”. Luego, me encontré con la aplicación “CLIPBUCKET” con la versión
    4.0 vulnerable a “File Upload”, logrando cargar un archivo PHP en el servidor web destino con
    el fin de obtener una reverse shell. Para la escalada de privilegio, encontré una clave privada
    SSH encriptada (cuyo passphrase puedo ser encontrada con “John The Ripper”) del usuario
    “server-management” . En la escalada vertical, aproveche la vulnerabilidad “tar wilcard
    injection” en el comando de una tarea cron ejecutada por root.
    ## FASE RECONOCIMIENTO ACTIVO
    En este caso debemos acceder al sistema destino y obtener las banderas.
    Primero, empezaremos utilizando el comando openvpn y el archivo de
    configuración OpenVPN con el fin de establecer una conexión VPN y poder
    acceder a los laboratorios donde están las máquinas virtuales.

    Además, la plataforma de Tryhackme nos muestra la dirección IP de la máquina


    VulnNet.
    ## FASE ESCANEO Y ENUMERACION
    Ahora pasaremos a la fase de Escaneo y Enumeración con el fin de poder escanear
    los puertos del sistema destino. Además, obtendremos los servicios que se han
    levantado en los puertos abiertos, las versiones de los servicios.
    Los resultados que obtenemos son:

     Un programa servidor SSH que se ejecuta en el puerto 22.


     Un programa servidor HTTP que se ejecuta en el puerto 80. Ademas, podemos
    observar la etiqueta “title” de una pagina web, por lo que podemos deducir que
    hay un sitio web alojado en el servidor web.
    Ahora accederemos al sitio web a traves de mi navegador web.
    Podemos observar que varios de los formularios del sitio web no son funcionales ya
    que no tienen el atributo “action” ni el atributo “method” donde se especifique la ruta
    hacia donde se enviaran los datos de los formulario ni el metodo que se utilizara.
    Ademas, otras funcionalidades no esta desarrolladas debido a que te redirecciona al
    mismo lugar como “Forgot Password”.
    Ahora realizaremos fuerza bruta de directorios en el directorio raiz del servidor web en
    busca de recursos escondidos.
     index__d8338055.js
     index__7ed54732.js
    Podemos observaru que no encontramos algun recurso interesante, solo encontramos
    directorios donde se suelen almacenar los archivos JavaScript, CSS utilizados para el
    desarrrollo del sitio web. Ademas, podemos observar que el contenido de los archivos
    JavaScript estan ofuscados. Para ello utilizaremos la opcion “Pretty Print”({}) de la
    herramienta “Debugger” integrada en el navegador web con el fin de observar sus
    contenidos de manera mas legible.
    Podemos observar que logramos encontrar un dominio llamado “vulnnet.thm” con su
    subdominio “broadcast”. Ademas, nos encontramos un parametro GET “referer” .
    Ahora para acceder al dominio “vulnnet.thm”, y a su subdominio tendremos que
    agregarlos a nuestro archivo “/etc/hosts” asociado con la dirrecion IP del servidor web
    destino.
    Podemos observar que el dominio le pertenece al sitio web encontrado anteriormente.
    Ademas, el directorio raiz del subdominio “broadcast” esta protegido por un metodo de
    autenticacion que no logre bypassear a patir de credenciales por defecto como
    “admin:password” o “admin:root” o “administrator:root” o “root:password” o
    “administrator:password” o “root:root”.
    ## FASE GANAR ACCESO O EXPLOTACION O HACKING
    Ahora le asignaremos al parametro GET “referer” la ruta del archivo
    “/etc/passwd”( inherente a los sistemas basados en Linux/Unix) con el fin de saber si
    este parametro es vulnerable a LFI.
    Podemos observar que logramos observar el contenido del archivo “/etc/passwd” en el
    codigo fuente, por lo tanto, nos topamos con la vulnerabilidad LFI en el parametro GET
    “referer”. Ahora probaremos con diversos tipos de rutas de archivos conocidos en un
    sistema Linux de manera automatizada con el modulo “Intruder” de Burp Suite con el
    fin de saber si podemos acceder a los registros de acceso del servidor web o al
    archivo sshd_config o al directorio .ssh del usuario local “server-management” con el
    fin de buscar alguna clave privada SSH.
    Podemos observar que no logramos obtener ninguna clave privada SSH en ninguna
    de las dos rutas. Ademas, tampoco tenemos acceso al registro de acceso del servidor
    web. Debido a esto estuve pensando en obtener el archivo “.htpaccess” donde se
    define las configuraciones de acceso y permisos sobre un directorio para cuando
    quieres implementar un mecanismo de autenticacion para protegelo. Ademas, este
    archivo solia ubicarse dentro del directorio que se iva a aplicar las configuraciones de
    acceso y permisos, pero en este caso viene a ser el directorio raiz de un subdominio el
    que se ha protegido con un mecanismo de configuracion. Por tal motive tuve que
    investigar sobre la ubicación del archivo “.htpaccess” para este caso.
    Podemos observar que el archivo de configuracion /etc/apache2/sites-enabled/000-
    default.conf esta la seccion “Directory” donde se establece las configuraciones de
    acceso y permiso sobre el directorio raiz del subodiminio. Ademas, en la drectiva
    “AuthUserFile” encontramos la ruta del archivo oculto “.htppaswd” que suele
    almacenar las credenciales para autenticarse en el mecanismo de autenticacion
    configurado en el subdominio “broadcast”.
    Podemos observar que logramos encontrar las credenciales para autenticarnos en el
    mecanismo de autenticacion configurado en el acceso al subdominio “broadcast”, pero
    la contraseña esta en forma de hash con un prefijo conocio. Ahora, utilizaremos John
    The Ripper para crackear el hash, y poder acceder al subdominio.
    Podemos observar que se logro crackear el hash de la contraseña, logrando acceder
    al directorio raiz del subdominio. Luego, fuismos redirigidos a un sitio web de
    alojamiento de videos y que ha sido configurado y esta siendo gestionado con la
    aplicación CLIPBUCKET. Ahora buscaremos cual es la version instalada de
    CLIPBUCKET con el fin de buscar algun exploit publico para tal version.
    Podemos observar que logramos saber la version del ClipBUCKET instalado en el
    servidor web a patir de un comentario en el codigo fuente de la pagina de inicio del
    sitio web. Ademas, logramos encontrar una vulnerabilidad “File Upload” en las
    versiones inferiores a “4.0-Release 49022”. Ahora intentremos cargar una archivo PHP
    que nos genere una reverse shell.
    Podemos que logramos obtener acceso al sistem destino mediante la vulnerabilidad
    “File Upload”. Ahora daremos un tratamiento a nuestra reverse shell para que sea mas
    interactiva y estable.

    ## FASE ESCALADA DE PRIVILEGIOS


    Ahora buscaremos vectores de escalada de privilegios vertical de manera manual en
    el sistema de archivos del sistema destino.

     Tareas Cron
    Podemos observar que hay una tarea cron establecido en el archivo crontab general.
    Ademas, esta tarea cron consiste en ejecutar una script Bash con los privilegios de
    root de manera periodica y automatizada. Ademas, si observamos el contenido del
    script nos topamos con una vulnerabilidad bastante conocido llamada “tar wilcard
    injection” pero es necesario tener acceso al directorio home del usario local “server-
    management”.

     Enumeracion de archivos del usuario “server-management” con el permiso de


    escritura y lectura habilitado
    Podemos observar que nos topamos con un archivo comprimido con GZIP. Luego, nos
    topamos con un archivo tar donde logramos extraer una clave privada SSH encriptada.
    Ahora, utilizaremos John The Ripper para crackear la passphrase solicitada para
    desencriptar la clave privada.
    Podemos observar que se logro encontrar el passphrase necesario para desencriptar
    la clave privada. Luego, logramos obtener acceso al sistema destino siendo el usuario
    server-management mediante la clave privada SSH. Ahora explotaremos la
    vulnerabilidad “tar wilcard injection” para asignarle el bit SUID al archivo binario bash.

    De esta logramos asignarle el bit SUID al archivo binario bash, logrando ejecutar una
    shell Bash con privilegios de root. Ahora buscaremos las dos banderas.

    También podría gustarte