The Hackers Labs GOIKO

Empezamos primero lo primero escaneo de puertos abiertos en el Host.


# Nmap 7.94SVN scan initiated Tue Jul 30 10:19:14 2024 as: nmap -sCV -p22,139,445,10021 -oN target.txt 172.16.241.177
Nmap scan report for 172.16.241.177
Host is up (0.00071s latency).

PORT      STATE SERVICE     VERSION
22/tcp    open  ssh         OpenSSH 9.2p1 Debian 2+deb12u2 (protocol 2.0)
| ssh-hostkey: 
|   256 e6:e0:15:63:c4:74:9e:04:7c:95:44:d5:45:c2:b4:4a (ECDSA)
|_  256 44:02:f3:25:5d:f0:b2:f3:2b:71:a3:08:dd:4f:37:72 (ED25519)
139/tcp   open  netbios-ssn Samba smbd 4.6.2
445/tcp   open  netbios-ssn Samba smbd 4.6.2
10021/tcp open  ftp         vsftpd 2.0.8 or later
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Host script results:
| smb2-time: 
|   date: 2024-07-30T14:20:02
|_  start_date: N/A
| smb2-security-mode: 
|   3:1:1: 
|_    Message signing enabled but not required
|_nbstat: NetBIOS name: VENTURA, NetBIOS user: <unknown>, NetBIOS MAC: <unknown> (unknown)

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Tue Jul 30 10:20:05 2024 -- 1 IP address (1 host up) scanned in 51.57 seconds

Ahora un escaneo mas profundo volcandonos las versiones y servicios que corren para cada uno de ellos.


Bueno ahora empezemos con un reconocimiento general haciendo uso de esta herramienta enum4linux, en la cual nos encuntra una bariedad de usuarios los cuales pondremos en un diccionario propio de usuarios.


Ahora como punto numero uno haciendo uso de crackmapexec y usando el diccionario encontrado hacemos un ataque de fuerza bruta al smb, en el cual observamos que encontramos una credencial valida para el usuario Administrator.

Como segundo punto y haciendo uso de crackmapexec observamos los recursos que se estan compartiendo, en el los cuales en tres tenemos permisos de lectura.


Nos conectamos al recurso menu usando smbclient, donde encontramos dos archivos el goiko.txt nos deja un sms.

El segundo son un usuario y una credencial.


Con las credenciales encontradas nos conectamos al ftp, donde encontramos un archivo .zip, nos lo descargamos a local.


  1. Ahora haciendo uso de 7z listamos el contenido del zip, donde tenemos dos archivos id_rsa y users.

  2. Si lo intentamos extraer el contenido observamos que nos pide password.


  1. Hacemos uso de zip2john y creamos un hash para el archivo zip.

  2. Y crackeamos la contraseña usando John yo lo hice asi, porque anteriormente ya lo habia crackeado, si es la primera vez que lo crackea debe escribir todo el comando john -w:/usr/share/wordlist/rockyou hash.

Con la contarseña en nuestras manos descomprimimos el .zip y tenemos los dos archivos la id_rsa y users.


La id_rsa esta protegida, hacemos lo mismo que con el .zip creamos un hash y la crackeamos, yo la crackeo de la manera john --show porque ya habia resuelto la maquina anteriormente, si es primera vez debera hacerlo como lo indicaba arriba.


  1. Ahora usando hydra con los usuarios que contramos hacemos fuerza bruta al ssh, en el cual encontramos credenciales validad.

  2. Nos conectamos a la maquina via ssh.


Ya conectados tenemos una pista de como proseguir y la primera bandera.


Nos conectamos a la base de datos usando las mismas credenciales del ssh, listamos las bases de datos,tablas y etc y obtemos dos hashes y dos usuarios.


Crackeamos uno de los hash online.


  1. Nos migramos al usuario nika.

Escalamos privilegios de esta manera creando un find que no sera el original y manipulando el PATH para que ejecute el nuestro y listo somos root.

Intente manipular el PATH exportandolo pero no se no tenia el mismo efecto que al hacerlo de esta manera.

Última actualización