TryHackMe Basic Pentesting

# Nmap 7.93 scan initiated Mon Sep 11 15:52:47 2023 as: nmap -sCV -p22,80,139,445 -oN target.txt 10.10.47.110
Nmap scan report for 10.10.47.110
Host is up (0.092s latency).

PORT    STATE SERVICE     VERSION
22/tcp  open  ssh         OpenSSH 7.2p2 Ubuntu 4ubuntu2.4 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   2048 db45cbbe4a8b71f8e93142aefff845e4 (RSA)
|   256 09b9b91ce0bf0e1c6f7ffe8e5f201bce (ECDSA)
|_  256 a5682b225f984a62213da2e2c5a9f7c2 (ED25519)
80/tcp  open  http        Apache httpd 2.4.18 ((Ubuntu))
|_http-server-header: Apache/2.4.18 (Ubuntu)
|_http-title: Site doesn't have a title (text/html).
139/tcp open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
445/tcp open  netbios-ssn Samba smbd 4.3.11-Ubuntu (workgroup: WORKGROUP)
Service Info: Host: BASIC2; OS: Linux; CPE: cpe:/o:linux:linux_kernel

Host script results:
| smb2-security-mode: 
|   311: 
|_    Message signing enabled but not required
| smb-security-mode: 
|   account_used: guest
|   authentication_level: user
|   challenge_response: supported
|_  message_signing: disabled (dangerous, but default)
|_nbstat: NetBIOS name: BASIC2, NetBIOS user: <unknown>, NetBIOS MAC: 000000000000 (Xerox)
|_clock-skew: mean: 1h20m10s, deviation: 2h18m34s, median: 10s
| smb2-time: 
|   date: 2023-09-11T13:53:12
|_  start_date: N/A
| smb-os-discovery: 
|   OS: Windows 6.1 (Samba 4.3.11-Ubuntu)
|   Computer name: basic2
|   NetBIOS computer name: BASIC2\x00
|   Domain name: \x00
|   FQDN: basic2
|_  System time: 2023-09-11T09:53:12-04:00

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Mon Sep 11 15:53:05 2023 -- 1 IP address (1 host up) scanned in 17.28 seconds

• Primeramente hacemos uso de Nmap para ver que puertos estan abiertos, que servicios y versiones corren para cada uno de ellos.

Smbmap Smbclient

• Empezamos enumerando el puerto 445 ya que los demas hay poca cosa.

• Como putno uno usamos SMBMAP para conectarnos como un usuario nulo y podemos observar que para el usuario anonymous tenemos permiso de lectura.

• Como punto dos usando SMBCLIENT nos conectamos como anonymous y observamos que tenemos un archivo llamado staff.txt, nos lo descargamos a local y podemos observar que tenemos un posible usuario.

• Ahora usando hydra y sabiendo que el puerto 22 esta abierto de SSH hacemos un ataque de fuerza bruta.

• Ya con la contraseña encontrada para el usuario jan nos conectamos por SSH a la maquina.

• Ya dentro y como punto numero uno nos vamos al directorio /home/kay.ssh, que es el directorio de otro usuario y no de jan, el cual nos permitiria movernos lateralmente por la maquina dentro de este directorio observamos que tenemos una id_rsa, nos compartimos un servidor con python3 desde la maquina victima.

• Como punto numero dos en nuestra maquina atacante nos descargamos el archivo id_rsa usando WGET.

• Si intento usar la id_rsa que pertence al usuario kay para conectarme por SSH me pide clave para la id_rsa.

Ssh2john.py

• Como nos pide clave hay que crackear y eso lo hacemos usando ssh2john.py para general un hash para la clave id_rsa.

• Ya con el hash generado y como punto numero uno usamos john para crackear la contraseña del id_rsa de kay el cual encontramos la contraseña que es beeswax.

• Como punto numero dos ya con la contraseña de la clave de kay nos conectamos por SSH pero ahora no como jan si no como kay, estamos dentro como kay ahora.

• Vamos por nuestra flag que en este caso es solo una y no hay que escalar privilegios y listo maquina resuelta.