{"id":642,"date":"2020-01-03T03:29:18","date_gmt":"2020-01-03T02:29:18","guid":{"rendered":"https:\/\/www.pinguytaz.net\/?p=642"},"modified":"2020-01-03T03:29:19","modified_gmt":"2020-01-03T02:29:19","slug":"ctf-basic-pentesting-de-tryhackme","status":"publish","type":"post","link":"https:\/\/www.pinguytaz.net\/index.php\/2020\/01\/03\/ctf-basic-pentesting-de-tryhackme\/","title":{"rendered":"CTF (Basic Pentesting) de TryHackMe"},"content":{"rendered":"\n

Esta vez tenemos un tutorial de una maquina b\u00e1sica \u00abTryHackMe<\/a>\u00bb que nos permite conocer los pasos iniciales de pentesting y el uso de las habitaciones de esta pagina con retos de ciberseguridad en maquinas virtuales alojadas en la nube.<\/p>\n\n\n\n

Antes de empezar a comentar el reto debemos tener en cuenta que para acceder a las maquinas debemos conectarnos a su red mediante una conexi\u00f3n VPN, con OpenVPN<\/a>, y que esta perfectamente explicado en la opci\u00f3n de acceso en la que nos podremos descargar nuestro fichero de configuraci\u00f3n OpenVPN<\/a> y podremos ver nuestra IP y la IP-Virtual de acceso a las salas.<\/p>\n\n\n\n

Solo teniendo una conexi\u00f3n VPN podremos lanzar la maquina desde la sala \u00abhttps:\/\/tryhackme.com\/room\/basicpentestingjt<\/a>\u00ab, indic\u00e1ndonos la IP de acceso, que nos durara una hora y podremos ir incrementando el tiempo seg\u00fan vayamos necesitando. Nos indicara las tareas que debemos ir completando, nosotros definiremos las acciones de un pententing e iremos completando las tareas.<\/p>\n\n\n\n

\"\"<\/figure><\/div>\n\n\n\n

Enumeraci\u00f3n<\/h2>\n\n\n\n

Lo primero sera encontrar los posibles servicios a explotar y lo realizaremos con nuestra herramienta nmap.<\/p>\n\n\n\n

nmap -O -sS -Pn -sV 10.10.73.216<\/code><\/pre>\n\n\n\n
de forma que localizaremos los puertos abiertos y versiones del SO y los servicios que nos permitira localizar vulnerabilidades, lo que nos permitir\u00e1 finalizar la tarea 2 del reto(\u00ab#2\u00bb)<\/strong> que en este caso solo debemos indicar que se ha completado.<\/p>\n\n\n\n
\"\"<\/figure><\/div>\n\n\n\n
Con lo que descubrimos que es una maquina Linux, llamada BASIC2, y los puertos siguientes abiertos:<\/p>\n\n\n\n
  • 22 SSH y la versi\u00f3n es OpenSSH 7.2p2<\/li>
  • 80 HTTP con un Apache 2.4.18<\/li>
  • 139 y 445 Samba y detecta el grupo \u00abWORKGROUP\u00bb<\/li>
  • 8009 ajp13 Apache Jserv<\/li>
  • 8080 http con Tomcat 9.0.7<\/li><\/ul>\n\n\n\n
    Podemos ampliar la enumeraci\u00f3n con el protocolo SAMBA (herramienta enum4linux\u00bb a ver si nos detecta algun usuario que se puede usar por ejemplo con SSH, y un an\u00e1lisis de la WEB.<\/p>\n\n\n\n
    WEB<\/h4>\n\n\n\n
    Lo primero es conectarnos al navegador a ver si vemos alg\u00fan formulario o punto de ataque, no se ve nada por lo que realizaremos una fuerza bruta de directorio con la herramienta (dirb) <\/p>\n\n\n\n
    dirb http:10.10.73.216<\/code><\/pre>\n\n\n\n
    \n
    \"\"<\/figure><\/div>\n<\/div><\/div>\n\n\n\n
    En este caso se encuentra el directorio development, que lo introduciremos en la pregunta (#3) <\/strong>sin ‘\\’ como as\u00ed lo indica y nos validara que es correcto.<\/p>\n\n\n\n
    Miramos este directorio y se encuentran dos archivos: dev.txt y j.txt. No viendo nada especialmente \u00fatil en ellos salvo un comentario de contrase\u00f1as d\u00e9biles en Shadow pero para esto deberemos tener acceso root.<\/p>\n\n\n\n
    Samba<\/h4>\n\n\n\n
     Realizaremos una enumeraci\u00f3n del servicio SAMBA con la herramienta (enum4linux)<\/p>\n\n\n\n
    enum4linux 10.10.73.216<\/code><\/pre>\n\n\n\n
    \n
    \"\"<\/figure><\/div>\n<\/div><\/div>\n\n\n\n
    Y obtenemos que el grupo es \u00abWORKGROUP\u00bb y es un servicor samba 4.3.11 en Ubunto, eso ya lo teniamos con nmap, que disponemos de Anonymous y que las restricciones de la clave es de al menos 5 caracteres y lo m\u00e1s importante ya que nos permitir\u00e1 responder a la pregunta #4, #5 y #9 con los usuarios jan y kay.<\/strong><\/p>\n\n\n\n
    Para descubrir el usuario de la pregunta #6 que es la clave de usuario \u00abjan\u00bb que es el respondido en la pregunta #5 usaremos la fuerza bruta con (hydra) y el servicio ssh<\/em> que era otro de los servicios abiertos.<\/p>\n\n\n\n
    hydra -l jan -P \/usr\/share\/wordlists\/rockyou.txt 10.10.73.216 ssh<\/code><\/pre>\n\n\n\n
    \"\"<\/figure><\/div>\n\n\n\n
    Con la clave obtenida \u00abarmando\u00bb la respondemos en la pregunta #5<\/strong> y nos conectamos con ssh para entrar en la maquina.<\/p>\n\n\n\n
    ssh jan@10.10.73.216<\/code><\/pre>\n\n\n\n
    Dentro deberemos realizar una enumeraci\u00f3n interna para localizar alg\u00fan m\u00e9todo de escalada de privilegios ya que vemos que ‘jan’ no tiene acceso de root. Al acceder con SSH confirmamos la pregunta #7 con la respuesta ssh<\/strong>. Y se inicia la enumeraci\u00f3n en busca de vectores de ataque para la escalada de privilegios como nos piden en #8.<\/strong><\/p>\n\n\n\n
    Vemos que ‘kay’ el otro usuario pertenece a m\u00e1s grupo y en especial al grupo sudo lo cual puede ser bueno acceder como kay.<\/p>\n\n\n\n
    grep sudo \/etc\/group\n\n\/\/ Nos movemos un poco por los directorios de 'kay' a ver si localizamos algo.\ncd ..\ncd kay\nls -la\n<\/code><\/pre>\n\n\n\n
    \"\"<\/figure><\/div>\n\n\n\n
    Vemos varias cosas interesante, una es el fichero \u00abpass.bak\u00bb, otra es el directorio .ssh y al entrar en el vemos un fichero id_rsa y que al realizar un cat parece ser la clave privada RSA que tiene pinta de ser la de SSH por lo que nos ponemos manos a la obra para obtener la clave y en este caso utilizaremos la herramienta john<\/strong>.<\/p>\n\n\n\n
    # Primero nos llevamos el fichero a nuestra maquina KALI que tiene la herramienta.\nscp jan@10.10.73.216:\/home\/kay\/.ssh\/id_rsa id_rsa.orig\n\n#Ahora convertimos la clave privada a un formato compatible con john.\npython \/usr\/share\/john\/ssh2john.py id_rsa.orig > id_rsa.hash\njohn --wordlist=\/usr\/share\/wordlists\/rockyou.txt id_rsa.hash<\/code><\/pre>\n\n\n\n
    \"\"<\/figure><\/div>\n\n\n\n
    Obtenemos, ya que estaba la clave en el diccionario, la clave beeswax<\/strong> que probaremos antes con ssh, a ver si es cierto que esta frase\/clave es del ssh<\/p>\n\n\n\n
    # Desde la maquina con usuario jan\njan@basic2:\/home\/kay$ ssh -i .ssh\/id_rsa kay@10.10.73.216<\/code><\/pre>\n\n\n\n
    \n
    \"\"<\/figure><\/div>\n<\/div><\/div>\n\n\n\n
    Entramos como kay y reconfirmamos que tenemos acceso sudo, por lo que probaremos si el fichero pass.bak<\/em> es la clave, y lo probamos con \u00absudo -l y as\u00ed ver que acceso tenemos descubriendo que son todos no tardamos m\u00e1s y ejecutamos \u00absudo su\u00bb. rellenando la preguntas #9 (con kay) la #10 y la #11 con la frase de pass.bak (heresareallystrongpasswordthatfollowsthepasswordpolicy$$)<\/strong><\/p>\n\n\n\n
    En principio ya hemos terminado pero si vamos al directorio de root nos encontramos con un fichero de bandera \u00abflag.txt\u00bb y con esto si hemos logrado el reto completo.<\/p>\n\n\n\n
    \"\"<\/figure>\n\n\n\n
    Se indica que tenemos dos formas de acceder y de escalar privilegios, pero esto lo dejamos para otro momento, y como pista mirar\u00edamos vulnerabilidades de los servicios por ejemplo con \u00absearchsploit\u00bb y usando metasploit.<\/p>\n\n\n\n
    <\/p>\n\n\n\n
    Nos vemos en otra, y no olvidemos de dar a terminar para liberar los recursos de la maquina.<\/p>\n","protected":false},"excerpt":{"rendered":"
    Esta vez tenemos un tutorial de una maquina b\u00e1sica \u00abTryHackMe\u00bb que nos permite conocer los pasos iniciales de pentesting y el uso de las habitaciones de esta pagina con retos de ciberseguridad en maquinas virtuales alojadas en la nube. Antes de empezar a comentar el reto debemos tener en cuenta que para acceder a las […]<\/p>\n","protected":false},"author":1,"featured_media":643,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"site-container-style":"default","site-container-layout":"default","site-sidebar-layout":"default","disable-article-header":"default","disable-site-header":"default","disable-site-footer":"default","disable-content-area-spacing":"default","footnotes":""},"categories":[110,19,83],"tags":[131,95,132,87,130,96],"class_list":["post-642","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ctf","category-escalar-privilegios","category-pentesting-hacking","tag-dirb","tag-enum4linux","tag-john","tag-nmap","tag-openvpn","tag-samba"],"_links":{"self":[{"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/posts\/642","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/comments?post=642"}],"version-history":[{"count":7,"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/posts\/642\/revisions"}],"predecessor-version":[{"id":660,"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/posts\/642\/revisions\/660"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/media\/643"}],"wp:attachment":[{"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/media?parent=642"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/categories?post=642"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/tags?post=642"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}