Máquina Lower3 (Vulnyx)

Comenzamos con averiguar la dirección IP de la Máquina Victima, para ello primeramente utilizaremos la herramienta netdiscover, para ello ejecutamos el siguiente comando:

$ netdiscover -i eth1 -r 10.0.2.0/24

Kali (Máquina Atacante): 10.0.2.4
Máquina Victima: 10.0.2.31

Comprobamos si tenemos conexión con la Máquina Victima, para ello ejecutamos el siguiente comando:

$ ping -c 1 10.0.2.31

Como se puede comprobar por el TTL nos enfrentamos a una Máquina Linux.

A continuación, realizamos con la herramienta nmap un reconocimiento de los servicios, para ello ejecutamos el siguiente comando:

$ nmap -Pn 10.0.2.31 -sVC

Como podemos comprobar la Máquina Victima tiene abiertos los puertos 22, 80, 111 y 2049.

Comprobamos que es lo que corre por el puerto 80.

A continuación, si realizamos con la ayuda de la herramienta gobuster un fuzzing web, no encontramos nada.

Enumeramos el servicio nfs (2049) con la ayuda de la herramienta showmount, para ello ejecutamos el siguiente comando:

$ showmount -e 10.0.2.31

Como podemos ver tiene acceso todos los equipos de la red al directorio /var/www/html, por lo tanto nos lo montamos, y una vez montado listamos el directorio, para ello ejecutamos el siguiente comando:

$ mount -t nfs 10.0.2.31:/var/www/html /mnt -o nolock
$ ls

Le colamos una reverse shell en .php de pentestmonkey, para ello ejecutamos el siguiente comando:

$ nano revshell.php

A continuación, en nuestra terminal de nuestra Máquina Atacante y con la ayuda de la herramienta de netcat (nc) nos ponemos a la escucha por el puerto 443 por donde vamos a recibir la conexión, para ello ejecutamos el siguiente comando:

$ nc -lvnp 443

La ejecutamos de la siguiente manera:

¡¡¡Somos low!!!

A continuación, revisamos el archivo de configuración /etc/exports de nfs, para ello ejecutamos el siguiente comando:

$ cat /etc/exports

Vemos que disponemos de la opción no_root_squad, la cual permite que el usuario root del cliente acceda con estos permisos a los recursos del servidor, teniendo esta opción implicaciones de seguridad importantes.

Por lo tanto, nos copiamos el binario bash de nuestra máquina victima a la carpeta /var/www/html, para ello ejecutamos el siguiente comando:

$ cp /usr/bin/bash /var/www/html

Desde el punto de montaje que nos montamos anteriormente, al fichero bash le cambiamos el propietario del archivo a root y le asignamos el permiso SUID ya que no disponemos de permisos para esta tarea siendo el usuario low, para ello ejecutamos el siguiente comando:

$ chown root:root bash

$ chmod u+s bash

En la máquina victima ejecutamos el binario bash con la opción -p para que preserve los privilegios efectivos, para ello ejecutamos el siguiente comando:

$ ./bash -p

¡¡¡Ya somos root!!!

Tambien pudiendo leer las flags de user y root.

Buscar en este blog

Hacking Ético

Máquina Lower3 (Vulnyx)