MAQUINA DANCE-SAMBA (Enum4linux - Smbclient - ssh-keygen id_rsa - PrivEsc file})
Busque los puertos abiertos utilizando NMAP pasándole las siguientes argumentos.
Dato interesante, el puerto 21 se puede lograr acceder mediante formato "anónimo/anonymous", tambien contiene un archivo llamado "nota.txt" por lo que una vez dentro del FTP descargo el archivo a mi maquina atacante.
FTP es un protocolo de red que sirve para compartir archivos entre el servidor y el
ftp 172.17.0.2
anonymous
anonymous
La nota tiene 2 posibles usuarios Macarena y Donald, dato interesante ya que Macarena dejo en claro que esta obsesionado con Donald.
Tengo el puerto 22 ssh se podría realizar fuerza bruta con estos usuarios pero no es el caso. Puerto 139/445 protocolo samba.
Samba: este protocolo es una via libre del SMB de windows, este permite compartir ar
Una manera de enumerar rápidamente los recursos del samba es usando enum4linux como enum4linux-ng cada una puede mostrar diferentes resultados.
enum4linux-ng -A 172.17.0.2
La herramienta enum4linux-ng me muestra que macarena es un usuario valido del sistema, luego use enum4linux donde encontré que hay un recurso llamado "macarena" en el samba.
Con smbclient pasandole una NULL sesion y listando el contenido tambien se puede observar el recurso compartido.
smbclient -N -L 172.17.0.2
Ahora para acceder a los recursos como macarena se necesita una password si no es imposible.
En este caso pensé en probar a Donald como dicho password lo que con éxito logre el acceder.
Dentro de los recursos compartidos al parecer los archivos que contiene son similares a una carpeta de un usuario del sistema ya que contiene el bash_history y demas.
Use las credenciales "macarena:donald" para ingresar por el ssh pero no son validas.
Lo que note es que se pueden subir archivos a la SMB, esto dio paso a que pueda subir una id_rsa de mi maquina a la maquina victima.
Par ello use el siguiente comando usando ssh-keygen para crear la id_rsa.
ssh-keygen -t rsa -b 2048 -f ~/.ssh/id_rsa_victima -q -N ""
Modifico el contenido del SMB agregando la carpeta ".ssh" para alojar la id_rsa publica.
Antes de subir la id_rsa.pub a este se debe cambiar el nombre por "authorized_keys" y
seguido darle permisos 600. PORQUE? Se deben dar permisos (lectura y escritura solo
600
para el propietario) al archivo
~/.ssh/authorized_keys
Ahora usando el puerto 22 ingrese a la maquina de la siguiente manera.
Ya dentro veo ante información del sistema: ``uname -a, lsb_release -a, id
Probé sudo -l pero no se la contraseña de macarena ya que ingrese mediante mi propia id_rsa, los permisos suid tampoco hay para escalar privilegios.
Volvi un directorio para atras y encontre una carpeta llamada secret, esta carpeta contiene un archivo hash que dentro de ella hay un hash raro.
Con cyberchief logre decodificar el hash dando con una contraseña.
Entiendo que esta podría ser la contraseña de MACARENA en texto plano, probé ejecutando el comando sudo -l y con esa contraseña logre ver su contenido.
Como root se puede usar el comando file, este comando sirve para leer archivos que no tengamos permisos de lectura.
Probé leer el /etc/shadow y ver si dentro de la carpeta root había un archivo que contenga una contraseña pero no tuve éxito.
Luego de buscar que podía leer, encontré un archivo de texto llamado password.txt en la carpeta /opt.
Leí el contenido y vi que se encuentra en texto plano la contraseña de root.
sudo -u root file -f password.txt
Con esto finalice la maquina.
.
por razones
ssh -i id_rsa
