Basic /Doctor

Esta vez vamos a practicar un poco de pivoting con la maquina Basci y Doctor de Vulnyx.

Primero que nada tenemos la maquina atacante que en este caso soy yo, la segunda es la maquina Basic y la tercera la Doctor.

De entrada como atacante solo llego hasta la maquina Basic la 192.168.1.161 que asu vez esta misma osea Basic tiene una segunda interfas donde estaria la tercera, la maquina Doctor la 10.10.10.0/24.

Resumen Atacante solo tiene conectividad con Basic la 192.168.1.161 y Basic tiene conectividad con Doctor la 10.10.10.4, osea que para llegar hasta la maquina Doctor la 10.10.10.4 primero debemos hackear la maquina Basic que es hasta donde llegamos la 192.168.1.161.

Para ahorrar tiempo yo ya eh hackeado la maquina Basic solo me falta pivotar a la maquina Doctor, si tu las quieres hacer con las mismas maquinas aca esta la resolucion de la maquina Basic.

Estando ya en la primera maquina en la maquina Basic si hacemos un ip a observamos que tenemos una segundo segmento de red la 10.10.10.5/24 donde seguramente esta operando la maquina Doctor.

#!/bin/bash

function ctrl_c(){
	echo -e "\n\n[!] Saliendo......\n"
	tput cnorm; exit 1
}

for i in $(seq 1 254); do
	timeout 1 bash -c "ping -c 1 10.10.10.$i" &> /dev/null && echo "[+] El host 10.10.10.$i - ACTIVE" &
done; wait

tput cnorm

Como no sabemos que IP4 se nos asigno nos vamos al /tmp y nos creamos este pequeño script en bash, para dectectar mas direcciones IP en la red de Basic y asi observar cual se le fue asignada a la maquina Doctor.

Si ejecutamos el script nos encuentra 5 host activos. El que se le fue asignado a la maquina Doctor fue la 4, 10.10.10.4, en la maquina que corre en virtual box me salia 10.10.10.5.

Ahora ya sabiendo que direccion se nos fue asignada vamos a proceder a hacer el pivoteo con chisel.

Nos transferimos el chisel a la maquina victima, en local como punto numero uno nosotros la maquina atacante nos ejecutamos el chisel como servidor por el puerto 1234.

Aca tienes el chisel para que lo descargues.

Ahora en la maquina victima la maquina intermedia la basic, nos conectamos como cliente a la maquina atacante, para abrir un tunel el cual le permita a la maquina atacante no llegar solo hasta la maquina intermedia que seria basic si no llegar hasta la maquina doctor la 10.10.10.4

Se veria algo asi.

Máquina Atacante (Atacante)        Máquina Intermedia (Víctima)         Máquina Doctor (10.10.10.4)
-----------------------------------------------------------------------------------------------
   Chisel Server (Puerto 1234)    <-----     Chisel Client (Hacia Atacante)    <----- 
                                      |
                                      |
                                      |----->   Túnel (Hacia Máquina Doctor) ----->

Maquina Atacante se pone en escucha como servidor, Máquina Intermedia (Víctima) se conecta como cliente a la maquina Atacante, asu vez que la Máquina Intermedia (Víctima) habre un Túnel (Hacia Máquina Doctor)

Ahora nos vamos al archivo proxychains para configurar la conexion sock5, en este post lo explico.

Ahora solo falta poder configurar el proxy en el navegador por si la nueva maquina a la que tenemos ya creado un tunel tiene una pagina web asi poder verla.

Ahora empezamos con lo basico lo de siempre un escaneo de puertos, empezamos por observar puertos abiertos ahora ya en la otra maquina la maquina Doctor.

Todo tiene que pasar por proxychains por el tunel que creado si no, no podemos llegar hasta la direccion 10.10.10.4. Y bueno tenemos dos puertos abiertos.

Esto ya es en la maquina Doctor no en la basic.

# Nmap 7.94SVN scan initiated Thu Jan 25 17:46:35 2024 as: nmap -sT -Pn -sCV -p22,80 -oN target.txt 10.10.10.4
Nmap scan report for 10.10.10.4
Host is up (0.018s latency).

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
| ssh-hostkey: 
|   2048 44:95:50:0b:e4:73:a1:85:11:ca:10:ec:1c:cb:d4:26 (RSA)
|   256 27:db:6a:c7:3a:9c:5a:0e:47:ba:8d:81:eb:d6:d6:3c (ECDSA)
|_  256 e3:07:56:a9:25:63:d4:ce:39:01:c1:9a:d9:fe:de:64 (ED25519)
80/tcp open  http    Apache httpd 2.4.38 ((Debian))
|_http-title: Docmed
|_http-server-header: Apache/2.4.38 (Debian)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Thu Jan 25 17:47:13 2024 -- 1 IP address (1 host up) scanned in 37.68 seconds

Observamos la versiones y servicios que corren para esta maquina tenemos un servicio web.

Si vamos a la pagina web encontramos esto direccion IP 10.10.10.4, el apartado doctor, nos muestra un input que nos dice include donde le podemos pasar un argumento. y deribar en un LFI.

Le pasamos /etc/passwd y observamos que hay un usuario admin, recordar que todo debe pasar por proxychains si no no llegarias, ya que con proxichains es donde tenemos creado el tunel para llegar hasta la 10.10.10.4.

Podemos ver la id_rsa para el usuario admin. la cual esta Encriptada.

Nos la copiamos y la traemos a local y le cambiamos los permisos.

Como esta encriptada generamos un hash para ella usando ssh2john.

Luego hacemos un ataque de diccionario con john y tenemos la contraseña ahora ya podriamos conectarnos via ssh.

Nos conectamos via ssh como el usuario admin a la maquina doctor, recordar que todo debe pasar por proxychains por donde tenemos creado el tunel.

Ya dentro si hacemos un ip a estamos en la 10.10.10.4, el segundo segmento de red que tenia la maquina basic.

Ahora vamos a buscar la forma de escalar privilegios y buscando observamos que el /etc/passwd tenemos permisos de escritura. El cual usaremos para pasar de ser un usuario normal a un administrador root.

Nos generamos una nueva contraseña con openssl, en este caso puse hola.

Con la cadena genera nos vamos al /etc/passwd recordar que tenemos permisos de escritura y la pegamos en el usuario root, entonces ahora la contraseña de root sera hola.

Si hacemos un su root nos pide la contraseña que en este caso es hola, y somos root y tenemos la ultima bandera la de root.

Y bueno maquinas resuelta que en este caso eran dos, la primera basic con segundo segmento de red. Y bueno a seguir practicando pivoting.