Curiosidades De Hackers
WRITEUPS

Resolución de la máquina MORTADELA


Escaneo de puertos

Realizamos un escaneo mediante nmap para descubrir los puertos abiertos de la máquina.

En este caso podemos ver que son los puertos activos

Los parámetros utilizados son:

  • -p- : Escaneo de todos los puertos. (65535)
  • -sS : Realiza un TCP SYN Scan para escanear de manera rápida que puertos están abiertos.
  • -sC : Realiz una escaneo con los scripts basicos de reconocimiento
  • -sV : Realiza un escaneo en buqueda de los servicios
  • –min-rate 5000: Especificamos que el escaneo de puertos no vaya más lento que 5000 paquetes por segundo, el parámetro anterior y este hacen que el escaneo se demore menos.
  • -n: No realiza resolución de DNS, evitamos que el escaneo dure más tiempo del necesario.
  • -Pn: Deshabilitamos el descubrimiento de host mediante ping.

Le echamos un vistazo al puerto 80 y vemos que tiene apache por defecto así que vamos a fuzzear

Nos encontramos con un directorio wordpress;

Con Wpscan le hacemos un reconocimiento básico y vemos que tenemos un usuario llamado «Mortadela»

Intentamos mirar si podemos obtener el fichero «xmlrpc.php» para una posible enumeración y fuerza bruta de usuarios y contraseña pero vemos que no;

No obstante lo intentamos sin exito

Además intentamos ver que podemos encontrar el el directorio «cgi-bin»(deshabilitado normalmente) para un posible ataque «ShellShock», os dejo mas información de este ataque en mi blog:

Puesto que tenemos la ultima versión de ssh y no podemos hacer fuerza bruta, lo haremos sobre mysql con el usuario «mortadela»(sin éxito) que teníamos y el usuario por defecto «root».

Visto que tenemos un usuario y contraseña vamos a investigar que nos encontramos en la base de datos;

En una de las tablas de la base de datos confidencial entramos un usuario y contraseña, así que probaremos a entrar por ssh;

Navegamos por directorio primeramente para un reconocimiento inicial

Y nos encontramos con una carpeta compirmidad muy curiosa;

Puesto que no tenemos Python nos mandaremos el archivo con «scp»

Es un archivo protegido con contraseña asi que sacaremos su hash para posteriormente hacerle fuerza bruta

Tenemos la contraseña y podemos acceder a ver dos archivos, dos archivos de keepass;

Para verlos necesitamos una clave maestra, así que con este exploit vamos a intentar averiguarla, ademas os dejo un video sobre mi compañero en el que se le acontece la misma vulnerabilidad;

Conseguimos la clave maestra asi qu eabrimos KeePassXC para linux;

Obtenernos una contraseña de root, probemos si es para ssh

Y efectivamente hemo conseguido acceder a root y obtener las flags