La máquina Lame es una máquina fácil de HTB.
Resumen de conceptos trabajados:
| –Enumerate ports/services (nmap) -Vulnerability found CVE (CVE-2007-2447) -Metasploit RCE |
Al final del write up te cuento un resumen de toda la máquina.
Si es tu primera máquina en Hack The Box y no sabes cómo conectarte a la máquina del laboratorio, te recomiendo que visites este post donde te cuento cómo introducirte en esta plataforma.
A continuación, para conectarte a la máquina, tendrás que establecer la conexión con la máquina víctima de HTB conectándote a la VPN desde la carpeta donde la tengas descargada, y desde ahí ejecutarás el comando «sudo openvpn NOMBRE_VPN.ovpn».
Estructura del contenido
NUMERACIÓN -> ESCANEO DE PUERTOS
Comenzamos con la enumeración de puertos y conocimiento de versiones y servicios que corren sobre los mismos.
Antes, a mi me gusta asegurarme que efectivamente la máquina víctima está activa y ante qué sistema operativo (OS) nos enfrentamos. Para ello:
¿Está la máquina víctima activa y nos podemos comunicar con ella?
Aquí lo que haremos es ejecutar el siguiente comando y ver si el «host is up»:
El TTL es de 64 (63 en HTB por el nodo intermediario) por lo que estamos antes una máquina Linux.
Ahora que sabemos que la máquina víctima está activa, procedemos escanear la red lanzando un nmap para detectar qué puertos están abiertos con el siguiente comando:
nmap -p- --open -sS --min-rate 5000 -vvv -n -Pn 10.10.10.3 -oG Escaneo
Sabemos por tanto que los puerto 21 FTP, 22 SSH, 139 netbios-ssn, 445 microsoft-ds y 3632 distccd están abiertos.
El puerto 139 NetBIOS, es un protocolo antiguo usado por Windows para compartir archivos, impresoras o carpetas en red local. Es donde se establecen sesiones de red para compartir recursos. Se suele usar junto con el puerto 445.
El puerto 3632 – distccd (DistCC Daemon) es usado en entornos de desarrollo Linux para compilar código en red.
A continuación analizamos los servicios y versiones que corren para esos puertos abiertos, de esta forma obtengo más detalle clave sobre posibles exploits que pueda encontrar, para ello lanzo este comando:
nmap -sCV -p21,22,139,445,3632 10.10.10.3
Vulnerability found CVE (CVE-2007-2447)
Buscando por diferentes exploits para esas versiones de esos servicios, vemos que la versión de Samba 3.0.20 (CVE-2007-2447)del puerto 445 es vulnerable a una inyección de comandos a través de Metasploit.
Metasploit RCE
Sabiendo esto, activamos Metasploit con:
msfconsole
search samba usermapy vemos que efectivamente se encuentra el exploit «usermap_script», por lo que vamos a usarlo configurando antes las distintas opciones:
- RHOSTS = IP víctima
- RPORT = 139
- LHOST = IP atacante
- LPORT = aleatorio y libre
y ejecutamos con «run»:
A partir de aquí ya somos usuarios root y podemos ir desplazándonos por los distintos directorios en busca de la user flag (está en el directorio /home/makis) y la root flag (está en el directorio /root).
RESUMEN
Verificamos que la máquina víctima (IP 10.10.10.3) está activa usando ping, y observamos que el TTL indica que es un sistema Linux. Luego escaneamos todos sus puertos con nmap y descubrimos que están abiertos los puertos 21 (FTP), 22 (SSH), 139 (NetBIOS), 445 (SMB) y 3632 (distccd). Con un segundo escaneo (nmap -sCV) obtenemos información más detallada sobre las versiones de los servicios, y vemos que Samba 3.0.20, que corre sobre el puerto 445, es vulnerable a una vieja vulnerabilidad conocida como CVE-2007-2447.Usando Metasploit, cargamos el módulo exploit/multi/samba/usermap_script, configuramos la IP víctima (RHOST), el puerto 139 (RPORT), nuestra IP atacante (LHOST) y un puerto libre (LPORT). Ejecutamos el exploit con run y obtenemos acceso directo como root en la máquina remota. Desde ahí, navegamos por los directorios /home/makis/ y /root/ para encontrar las flags de usuario y de root. Todo el proceso es directo y efectivo si se sigue paso a paso, ideal para principiantes que buscan su primera victoria en Hack The Box. |
