MAQUINA DANCE SAMBA (Enum4linux Smbclient ssh keygen id_rsa PrivEsc file})

MAQUINA DANCE-SAMBA (Enum4linux - Smbclient - ssh-keygen id_rsa - PrivEsc file})

Busque los puertos abiertos utilizando NMAP pasándole las siguientes argumentos.

nmap -p- --open --top-port=100 --min-rate 3000 -n -Pn -sSCV 172.17.0.2 -oN fullservice.txt

Dato interesante, el puerto 21 se puede lograr acceder mediante formato "anónimo/anonymous", tambien contiene un archivo llamado "nota.txt" por lo que una vez dentro del FTP descargo el archivo a mi maquina atacante.

FTP es un protocolo de red que sirve para compartir archivos entre el servidor y el cliente mendiate una red.

ftp 172.17.0.2

• anonymous

• anonymous

La nota tiene 2 posibles usuarios Macarena y Donald, dato interesante ya que Macarena dejo en claro que esta obsesionado con Donald.

Tengo el puerto 22 ssh se podría realizar fuerza bruta con estos usuarios pero no es el caso. Puerto 139/445 protocolo samba.

Samba: este protocolo es una via libre del SMB de windows, este permite compartir archivos, impresoras o otros recursos entre sistemas de la red

Una manera de enumerar rápidamente los recursos del samba es usando enum4linux como enum4linux-ng cada una puede mostrar diferentes resultados.

enum4linux-ng -A 172.17.0.2

La herramienta enum4linux-ng me muestra que macarena es un usuario valido del sistema, luego use enum4linux donde encontré que hay un recurso llamado "macarena" en el samba.

Con smbclient pasandole una NULL sesion y listando el contenido tambien se puede observar el recurso compartido.

smbclient -N -L 172.17.0.2

Ahora para acceder a los recursos como macarena se necesita una password si no es imposible.

En este caso pensé en probar a Donald como dicho password lo que con éxito logre el acceder.

Dentro de los recursos compartidos al parecer los archivos que contiene son similares a una carpeta de un usuario del sistema ya que contiene el bash_history y demas.

Use las credenciales "macarena:donald" para ingresar por el ssh pero no son validas.

Lo que note es que se pueden subir archivos a la SMB, esto dio paso a que pueda subir una id_rsa de mi maquina a la maquina victima.

Par ello use el siguiente comando usando ssh-keygen para crear la id_rsa.

ssh-keygen -t rsa -b 2048 -f ~/.ssh/id_rsa_victima -q -N ""

Modifico el contenido del SMB agregando la carpeta ".ssh" para alojar la id_rsa publica.

Antes de subir la id_rsa.pub a este se debe cambiar el nombre por "authorized_keys" y

seguido darle permisos 600. PORQUE? Se deben dar permisos (lectura y escritura solo

600 para el propietario) al archivo ~/.ssh/authorized_keys por razones de seguridad y el funcionamiento correcto del SSH.

Ahora usando el puerto 22 ingrese a la maquina de la siguiente manera.

ssh macarena@172.17.0.2 -i id_rsa

Ya dentro veo ante información del sistema: ``uname -a, lsb_release -a, id

Probé sudo -l pero no se la contraseña de macarena ya que ingrese mediante mi propia id_rsa, los permisos suid tampoco hay para escalar privilegios.

Volvi un directorio para atras y encontre una carpeta llamada secret, esta carpeta contiene un archivo hash que dentro de ella hay un hash raro.

Con cyberchief logre decodificar el hash dando con una contraseña.

Entiendo que esta podría ser la contraseña de MACARENA en texto plano, probé ejecutando el comando sudo -l y con esa contraseña logre ver su contenido.

Como root se puede usar el comando file, este comando sirve para leer archivos que no tengamos permisos de lectura.

Probé leer el /etc/shadow y ver si dentro de la carpeta root había un archivo que contenga una contraseña pero no tuve éxito.

Luego de buscar que podía leer, encontré un archivo de texto llamado password.txt en la carpeta /opt.

Leí el contenido y vi que se encuentra en texto plano la contraseña de root.

sudo -u root file -f password.txt

Con esto finalice la maquina.