Enumeración

Escaneo de puertos

Realizamos un escaneo de todos los puertos para saber cuáles están activos.

Los parámetros utilizados son:

• -p- : Escaneo de todos los puertos. (65535)
• -sS : Realiza un TCP SYN Scan para escanear de manera rápida que puertos están abiertos.
• -sC : Realiz una escaneo con los scripts basicos de reconocimiento
• -sV : Realiza un escaneo en buqueda de los servicios
• –min-rate 5000: Especificamos que el escaneo de puertos no vaya más lento que 5000 paquetes por segundo, el parámetro anterior y este hacen que el escaneo se demore menos.
• -n: No realiza resolución de DNS, evitamos que el escaneo dure más tiempo del necesario.
• -Pn: Deshabilitamos el descubrimiento de host mediante ping.

En este caso nos encontramos con una web bastante interesante.

El cual vemos que tenemos un parámetro inyectable a mysql.

Utilizaremos sqlmap para sacar bases de datos.

y a continuación las tablas de la base de datos blog.

Una vez realizada dumpearemos todos los usuarios de la tabla users.

Y tal y como lo vemos los meteremos en un archivo para romperlos con john indicando el formato SHA256.

Una vez hemos conseguido una de las credenciales accederemos por ssh.

Y en uno de los directorios ocultos encontramos un carpeta comprimida.

La cual esta protegida con contraseña, así que nos la pasamos con scp a nuestro host.

Sacaremos el hash y lo rompemos con john, una vez realizado, podemos extraer los archivos del zip.

Nos encontramos con un archivo xlsx el cual podemos abrir en mi caso con LibreOffice.

Y obtenemos dos usuarios con su respectivas credenciales en principio.

Así que lo probamos con shh y podemos acceder.

Con pspy64 miraremos los procesos que corren y nos llama la atención un script llamado backup.sh.

Al tener permiso de escritura le daremos permisos a las bash para ser root, pero recordemos que estamos dentro de un contenedor.

Pasado unos minutos vemos que ya tiene los permisos para ejecutar una bash como root.

Navegando entre directorios nos encontramos con un txt el cual nos da una directrices, en concreto nos llama la atención del usuario Ian y su famosa contraseña.

Así que al probarla vemos que sigue siendo valida y nos encontramos un archivo psafe3 protegido con contraseña.

En esta caso repetimos el profeso pero con pswafe2john, sacamos el hash y lo rompemos.

Con pwsafe accedamos con el usuario y contraseña encontrados.

Y accedemos con ssh, vemos que estamos en el grupo docker en un directorio temporal, por lo que levantamos un contenedor, dándoles permisos a la bash con root, y al salir del contenedor vemos que la bash tiene permisos de root consiguiendo ser root.

Especial agradecimiento al compañero D4redevil por la creación y el conocimiento aportado en esta máquina. Un fuerte abrazo!!