16 ~ Brute It - Linux

Anterior17 ~ 0day - Linux Siguiente15 ~ Blog - Linux

Última actualización hace 3 años

16 ~ Brute It - Linux

Lo primero que haremos una vez iniciada la maquina, será realizar un ping a la maquina para saber dos cosas, la primera nos dirá si tenemos conexión con la maquina y con la segunda sabremos que sistema operativo puede tener.

Para saber que sistema operativo es nos fijaremos en el ttl que es 63 siendo una maquina Linux, aunque realmente el ttl de Linux es de 64, esto ocurre debido a que pasa por varios nodos intermediarios reduciéndole el ttl.

1. Escaneo de puertos

Una vez verificada la conexión con la maquina, vamos a realizar un escaneo a los puertos abiertos de la maquina para saber que servicios corren en ellos.

Descripción de los parámetros:
-p- : Escanea los puertos especificados, en este caso escanea los 65535 puertos.
--open : Muestra solo los puertos abiertos.
-sS : Escanea mediante TCP SYN.
--min-rate : Envía paquetes no mas lentos que el número indicado por segundo en nuestro caso 5000.
-Pn : Omite el descubrimiento de host.
-n : No realiza resolución DNS.
-vvv : Muestra la información mientras se esta realizando el escaneo.
IP : La IP que queremos escanear.
-oG : Guarda la salida del escaneo en un formato grepeable.

Una vez finalizado el escaneo realizaremos otro escaneo mas exhaustivo para ver si podemos sacar mas información de los servicios.

Descripción de los parámetros:
-p : Escanea los puertos especificados.
-sC : Lanza varios scripts defaults de nmap.
-sV : Determina los servicios que están corriendo en los puertos además de información extra.
IP : La IP que queremos escanear.
-oN : Guarda la salida en el formato de nmap.

2. Recolección de información

Empezaremos por el servicio http alojado en el puerto 80, para ello utilizaremos la herramienta whatweb para conocer la tecnología de la pagina.

Una vez visto la información que nos da whatweb procedemos a ingresar a la pagina y vemos que es la plantilla default de apache.

Tras enumerar la pagina, no encontramos nada de valor, entonces procedemos a utilizar la herramienta gobuster para hallar alguna ruta oculta.

Descripción de los parámetros:
dir : Utiliza el modo de enumeración de directorios/archivos.
-u : Le indicamos que le vamos a pasar una url.
URL : La url objetivo.
-w : Le indicamos que vamos a usar un diccionario.
/PATH/ : Le indicamos la ruta del diccionario a usar.
-t 50 : Le indicamos el numero de peticiones hacia el servidor.
--no-error : No muestra errores por pantalla.
-z : No muestra la barra de progresos por pantalla.
-o : Guarda la salida en un archivo.

Parece que tenemos un panel login.

Si volvemos a enumerar la ruta del panel login, en el código fuente vemos que nos da varios usuarios, y para el panel login el usuario es admin.

Ahora tenemos que realizar fuerza bruta al panel login para averiguar la contraseña, para ello vamos a crear un script en bash, también es posible utilizar hydra, burpsuite, etc.

#!/bin/bash

for pass in $(cat /usr/share/wordlists/rockyou.txt)
do
    if [[ $(curl -s http://<IP>/admin/ -d "user=admin&pass=$pass&Submit=Login" | grep "invalid" | awk -F">" '{print $2}' | awk -F"<" '{print $1}') != "Username or passowrd invalid" ]];then
     echo "La contraseña es $pass"
     break 
    fi
done

Terminado la fuerza bruta e ingresado al panel login, vemos la primera flag y una id_rsa.

Si recordamos anteriormente nos dieron dos posibles usuarios, y uno era para el panel login, entonces el otro que era john tendría que ser para conectarse mediante ssh. Pero nos pide contraseña al utilizar la id_rsa, para averiguar la contraseña, le haremos fuerza bruta con la herramienta John The Ripper.

Descripción de los parámetros:
hash : Nombre del archivo ha crackear.
--wordlists= : Le indicamos que vamos a utilizar un diccionario.
/PATH/ : La ruta del diccionario.