Esta es la primera solución realizada por mi persona ya que Eric aka @BalderramaEric en un par de horas nos dara su solución, de la maquina vulnerable esperamos y tenemos estimado dar una solución cada semana y compartirla de este modo nos preparamos para el OSCP y vamos mejorando cada prueba.
Solución Sleepy
Noviembre .2015
Jose Moruno Cadima - Snifer
Objetivo
Obtener acceso al fichero /root/flag.txt
Herramientas usadas
Las herramientas usadas para el siguiente reto se encuentran disponibles en Kali Linux, haciendo uso de un recurso externo referente a la shell subida el cual se tiene como referencia en el documento.
- Nmap, Netdiscover, Metasploit
Information Gathering
Enumeración de Equipos
Se realizo la enumeración de equipos partiendo que se encontraba en el segmento de red 10.0.0.1/24 considerando el /24 en base a la mascara de red 255.255.255.0
Realizando una validación adicional con la herramienta NetDiscover.
Enumeración de Puertos y Servicios
Se identificaron los siguientes puertos realizando el escaneo con nmap.
Se observa que se identificó el servicio FTP con acceso anónimo al cual se ingreso con el fin de ver si se obtenia algo pero en el proceso al final nada de nada solo lectura no se podia escribir por lo cual ni subir ni una shell.
Pero llegamos a tener una grata sorpresa el fichero sleepy.png se analizo viendo si contaba con metadatos o en su defecto esteganografiado tras un largo rato la respuesta fue negativa no se obtuvo nada tiempo perdido? quizas uno nunca sabe.
En este punto me detuve al menos un par de dias pensando como retomar el escalamiento o como acceder asi que despues de pensar y revisar información di con la siguiente entrada How can I exploit on Tomcat with AJP protocol la que me permitió configurar de manera correcta para acceder a TOMCAT alabado sea AJP Protocol, me dio la luz para seguir.
Logrando acceder al TOMCAT despues de configurar debidamente por el AJP por lo cual lo primero que trate fue de acceder con contraseñas por defecto asi que tras buscar y tratar ninguna dio así que tras revisar por un buen rato opciones di con jdb debug JDB tricks hacking java debug wire.
Se ve en la captura el usuario y la contraseñas tratamos y bingo accedemos al manager de TOMCAT!
En este punto hice uso de una web shell, war para llegar a trabajar de manera directa y subir esta mas que claro que es posible hacerlo con metasploit pero en esta oportunidad preferí realizarlo con una webshell externa.
Como ven a en la siguiente captura se tiene la shell subida asi que bastacon acceder a ella por el navegador.
Como ven al acceder al mismo tengo algunos valores para configurar y ejecutar.
Primero trate de hacer uso de Python, y Perl con el fin de obtener una reverse shell por grajes del destino no me respondia como esperaba así que procedi a hacer uso de BASH ;) como ven en la siguiente captura generando la petición respectiva para conectarme.
Lo siguiente fue desde Kali donde realize la intrusión ponerme a la escucha en el puerto 1234 como se ve a continuación.
Así que como ven en la siguiente captura se obtuvo el acceso.
En este punto tengo a informar que por mas que trate no logre escalar a privilegios de ROOT, para acceder al flag por lo tanto un punto flaco que tengo es la de escalamiento de privilegios, en los próximos dias seguire tratando ademas de ir estudiando y mejorando mis skills una vez que logre realizar vengo a esta entrada y lo actualizo como corresponde, ademas de notificarlo por Twitter y la pagina en Facebook.
Regards,
Snifer
