1 ~ Bounty Hacker - Linux

Lo primero que realizamos será un ping a la maquina para saber varias cosas, la primera para ver si tenemos conexión con ella y la segunda mediante el TTL podremos identificar que sistema operativo tiene. En este caso su ttl tiene 63 por lo cual es una maquina linux.

Las maquinas linux tienen un ttl de 64 pero vemos que su ttl es de 63 eso es debido a que salta por varios nodo intermediario.

1. Escaneo de puertos

Ahora que sabemos que tenemos conexión con la maquina y que su sistema operativos podría ser linux, procedemos a lanzarle nmap para escanear los puertos.

Descripción de los parámetros usados:

• -p- : Realiza un escaneo a los puertos especificados en este caso lo realiza a los 65535 puertos.

• --open : Muestra solo los puertos abiertos.

• --min-rate : Envía paquetes no mas lentos que el numero indicado por segundo en nuestro caso 5000.

• -Pn : Omite el descubrimiento de host.

• -n : No hace la resolución DNS.

• -vvv : Muestra la información mientras se esta realizando el escaneo.

• IP : La IP que queremos escanear.

• -oG : Guarda la salida del escaneo en un formato grepeable.

Una vez finalizado el escaneo de todos los puertos podemos ver que tenemos varios puertos abiertos.

Ahora procedemos a realizar un escaneo mas exhaustivo para saber que servicios corren dichos puertos.

Descripción de los parámetros usados:

• -p : Realiza un escaneo a los puertos especificados, en este caso al 21,22,80.

• -sC : Lanza algunos scripts default de nmap.

• -sV : Determina los servicios que están corriendo en los puertos además de algo de información.

• IP : La IP que queremos escanear.

• -oN : Guarda la salida en el formato de nmap.

Una vez finalizado el escaneo podemos ver mas información acerca de los puertos y su servicio.

2. Recolección de información

Una vez terminado el reconocimiento de puertos y saber que servicios corren en los puertos, toca recolectar información útil para poder preparar nuestro ataque.

Lo primero que vemos es el puerto 21, que tiene corriendo un servicio FTP, y un dato importante podemos conectarnos mediante el usuario Anonymous.

Procedemos a conectarnos mediante ftp: y nos pedirá un usuario, como hemos visto antes podemos acceder como anonymous. LISTO!

Vemos que dentro del ftp tenemos dos ficheros "locks.txt" y "task.txt", vamos a descargar esos ficheros a nuestra maquina para examinarlos mejor, con mget * podremos descargar todos los archivos.

Abrimos el primer archivo "locks.txt" y podemos ver posibles contraseñas.

Abrimos el otro archivo "task.txt" y a simple vista no hay nada de valor pero si nos fijamos bien vemos un posible usuario llamado "lin".

Bueno por ahora tenemos un archivo con posibles contraseñas y un posible usuario del sistema. Vemos que no hay nada mas en ftp y procedemos a pasar al siguiente puerto a ver que podemos sacar de ahí.

El siguiente puerto es el 22 y en este puerto esta corriendo el servicio ssh, podríamos realizar un pequeño ataque de fuerza bruta con hydra con las posibles credenciales que tenemos, pero antes de realizar cualquier ataque a lo loco, vamos a seguir investigando y recolectando información.

El siguiente puerto es el 80 y en este puerto vemos que esta corriendo un servicio apache, vamos a ver que podemos sacar de la pagina. Tras mirar la pagina un poco, código fuente, rutas, archivos ocultos no encontramos mas información relevante, entonces solo nos queda un camino realizar la fuerza bruta al servicio ssh

3. Ganando acceso

Para realizar la fuerza bruta vamos a utilizar "hydra", vamos a probar como usuario "lin" y como contraseñas el archivo "locks.txt"

Descripción de los parámetros usados:

• -l : Usamos como usuario el nombre introducido.

• -P : Usamos como contraseña el archivo introducido.

• ssh://IP: Le indicamos el servicio que queremos atacar con la sintaxis correspondiente.

Tras pasar un tiempo vemos que hydra nos da un usuario y una contraseña valida para realizar una conexión ssh.

Vamos a conectarnos mediante ssh, introducimos la contraseña mostrada por hydra y tenemos acceso a la maquina de lin, perfecto.

Vemos que somos lin y dentro del escritorio de lin tenemos la primera flag.

Ahora toca escalar privilegios para poder ver la flag de root.

4. Escalando privilegios

Empezamos por listar los grupos con id, no vemos nada interesante, el siguiente paso seria ver si tenemos algún permiso sudo, lo vemos con nos pide contraseña de lin se la ponemos y vemos que tenemos algo.

Vemos podemos ejecutar tar como root y bien como se haría eso, pues nos dirigimos a google y buscamos la maravillosa pagina de GTFOBINS y en el buscador de la propia pagina buscamos tar.

Ahora pinchamos en la opción que nos interesa que es sudo.

Nos muestra un comando, copiamos el comando tal cual y lo introducimos en la maquina de lin y wuala somos ROOT de la maquina y ya podemos ver la flag de root

Podemos modificar el comando de GTFOBINS para que nos de una bash en vez de una shell.