RODGAR
  • Whoami
  • HackTheBox
    • Hard
      • ⛔HackTheBox Vintage
    • Medium
      • HackTheBox Cascade
      • HackTheBox TombWatcher
      • Copy of HackTheBox TombWatcher
      • HackTheBox Monteverde
      • HackTheBox Resolute
      • HackTheBox Administrator
      • HackTheBox Escape
      • HackTheBox Authority
    • Easy
      • HackTheBox Active
      • HackTheBox Sauna
      • HackTheBox Support
      • HackTheBox Forest
      • HackTheBox Cicada
      • HackTheBox Timelapse
      • HackTheBox Return
  • CTF WRITEUP's
    • TryHackme
      • TryHackme 0day
      • TryHackme Daily Bugle
      • TryHackme Blog
      • TryHackme Year of the Owl
      • TryHackme Wgel CTF
      • TryHackme Chill Hack
      • TryHackme Wonderland
      • TryHackne OhSINT
      • TryHackme Cold VVars
      • TryHackme Dav
      • TryHackme RootMe
      • TryHackMe Basic Pentesting
      • TryHackMe Simple-CTF
      • TryHackMe Vulnversity
      • Tryhackme Kenobi
    • Burp Suite
      • 1️⃣SQL Ijections
        • Laboratorio Uno
        • Laboratorio Dos
        • Laboratorio Tres
        • Laboratorio Cuatro
        • Laboratorio Cinco
        • Laboratorio Seis
        • Laboratorio Siete
    • VulnHub
      • Inferno
      • Election
      • SYMFONOS 3
      • SYMFONOS 2
      • DJinn-3
      • Durian 1
      • DarkHole 2
      • OffSec DC-9
      • OffSec Potato
      • OffSec Pwned1
      • OffSec VIKINGS
      • OffSec Tre
      • OffSec MoneyBox
      • OffSec DEATHNOTE
      • OffSec Gaara
      • OffSec NoName
      • OffSec Katana
      • OffSec Sick0s
    • The Hackers Labs
      • The Hackers Labs Offensive
      • The Hackers Labs Resident
      • The Hacker Labs Base
      • The Hackers Labs Statue
      • The Hackers Labs Luna
      • The Hackers Labs Templo
      • The Hackers Labs GOIKO
      • The Hackers Labs Microsoft
    • Hackmyvm
      • Hackmyvm UP
    • Pivoting
      • Pivoting
      • Internal TryHackme
      • Basic /Doctor
      • Pluck /Brain
  • Privilege escalation
    • Abuso de grupos de usuario especiales
      • Docker
      • LXD
      • ADM
    • Abuso de permisos incorrectamente implementados
    • Detección y explotación de Capabilities
    • Tareas Crom
    • Path Hijacking
    • Abusando de privilegios a nivel de Sudoers
    • Abusando de privilegios SUID
    • Linux Privilege Escalation
  • Shared Files
    • Share Windows Linux
      • Compartir de entre Windows y Linux
      • Compartir de Windows a linux [Impacket-Server]
    • Share Linux
      • Compartir de linux en [PHP]
  • OWASP TOP 10
    • SQL Injections
    • XSS
    • XXE
    • Path traversal Lab
    • LFI con Wrappers
    • Log Poisoning (LFI -> RCE)
    • Server-Side Template Injection (SSTI)
    • Ataque de oráculo de relleno (Padding Oracle)
    • Inyecciones LaTeX
    • Ataques de transferencia de zona (AXFR – Full Zone Transfer)
    • Enumeración y explotación de WebDAV
    • ShellShock
    • Enumeración y explotación de SQUID Proxies
    • Insecure Direct Object Reference (IDORs)
    • Json Web Token
    • Intercambio de recursos de origen cruzado (CORS)
    • Abuso de subidas de archivos
      • Laboratorio 1
      • Laboratorio 2
      • Laboratorio 3
      • Laboratorio 4
      • Laboratorio 5
      • Laboratorio 6
      • Laboratorio 7
      • Laboratorio 8
      • Laboratorio 9
  • Group 1
    • Recursos
Con tecnología de GitBook
En esta página
  1. CTF WRITEUP's
  2. VulnHub

SYMFONOS 2

AnteriorSYMFONOS 3SiguienteDJinn-3

Última actualización hace 6 meses

Ahora vamos con lo tipico de siempre ver que puertos estan abiertos en la maquina.

# Nmap 7.94SVN scan initiated Fri Dec 15 18:27:15 2023 as: nmap -sCV -p21,22,80,139,445 -oN target.txt 192.168.1.141
Nmap scan report for 192.168.1.141
Host is up (0.0011s latency).

PORT    STATE SERVICE     VERSION
21/tcp  open  ftp         ProFTPD 1.3.5
22/tcp  open  ssh         OpenSSH 7.4p1 Debian 10+deb9u6 (protocol 2.0)
| ssh-hostkey: 
|   2048 9d:f8:5f:87:20:e5:8c:fa:68:47:7d:71:62:08:ad:b9 (RSA)
|   256 04:2a:bb:06:56:ea:d1:93:1c:d2:78:0a:00:46:9d:85 (ECDSA)
|_  256 28:ad:ac:dc:7e:2a:1c:f6:4c:6b:47:f2:d6:22:5b:52 (ED25519)
80/tcp  open  http        WebFS httpd 1.21
|_http-server-header: webfs/1.21
|_http-title: Site doesn't have a title (text/html).
139/tcp open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
445/tcp open  netbios-ssn Samba smbd 4.5.16-Debian (workgroup: WORKGROUP)
MAC Address: 08:00:27:4D:5E:22 (Oracle VirtualBox virtual NIC)
Service Info: Host: SYMFONOS2; OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel

Host script results:
| smb-os-discovery: 
|   OS: Windows 6.1 (Samba 4.5.16-Debian)
|   Computer name: symfonos2
|   NetBIOS computer name: SYMFONOS2\x00
|   Domain name: \x00
|   FQDN: symfonos2
|_  System time: 2023-12-15T11:27:29-06:00
| smb2-time: 
|   date: 2023-12-15T17:27:29
|_  start_date: N/A
|_clock-skew: mean: 2h00m02s, deviation: 3h27m51s, median: 1s
|_nbstat: NetBIOS name: SYMFONOS2, NetBIOS user: <unknown>, NetBIOS MAC: <unknown> (unknown)
| smb-security-mode: 
|   account_used: guest
|   authentication_level: user
|   challenge_response: supported
|_  message_signing: disabled (dangerous, but default)
| smb2-security-mode: 
|   3:1:1: 
|_    Message signing enabled but not required

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Fri Dec 15 18:27:27 2023 -- 1 IP address (1 host up) scanned in 12.74 seconds

Bueno ahora detectamos las versiones y los servicios que corren para cada uno de los puertos que estan abiertos.

Bueno ahora vamos a enumerar el samba observamos que en anonymous tenemos permisos de lectura.

Si nos vamos pa dentro tenemos un archivo llamado log.txt, vamos a verlo.

[anonymous]
   path = /home/aeolus/share
   browseable = yes
   read only = yes
   guest ok = yes

Esta parte seria la mas importante. Puedes leerlo todo si quieres cuando lo tengas en local.

Bueno esta version del FTP es vulnerable a la movida que estan viendo en la captura de pantalla.

  • Nos loguemos en FTP sin credenciales

  • Copiamos el passwd y el shadow.bak a la ruta backups, recordar que esa es la ruta que se comparte por samba de donde descargamos el log.txt.

Una vez copiados los archivos nos volvemos a loguear y tenemos disponible los archivos, nos los descargamos a local y vamos a tratarlos.

Bueno creamos un archivos para los hashes que tenemos de esta manera.

Ahora haciendo uso de john tenemos la contraseña para el usuario aerlus. Vamos a usarla por SSH.

Nos loguemos por SSH.

Intentando escalar privilegios buscando permisos, capabilities y mas no se encontro nada, pero a nivel interno la maquina tiene levantado un servicio por el puerto 8080.

Si le lanzamos un CURL por la estructura se puede ver que es un panel de autentificacion.

Vamos a hacer un PortForwarding para que este puerto lo pueda ver yo desde mi maquina ya que esto solo esta disponible en la maquina victima lo hacemos usando SSH.

Le decimos que el puerto 8080 que tiene internamente se convierta a mi puerto 8080 en mi maquina local.

Si vamos a localhost en el puerto 8080, tenemos este panel de autentificasion, las credenciales se reutilizan y podemos iniciar session con las mismas del SSH.

Ahora este LibreNMS tiene una vulnerabilidad que esn este caso vamos a usar metasploit. Buscamos a vamos a usar el 1.

Seteamos lo que se nos pide PASSWORD, RHOST,RPORT,USERNAME,LHOST,LPORT.

  • Le damos a run y ganamos acceso, si hacemo un whoami somos cronus ahora ya no somos aeolus, acabas de hacer un userPivoting.

  • Luego nos lanzamos otra revershell desde la shell que creo metasploit a de las tipicas que se usar costumbres.

Si hacemos un sudo -l podemos ver que cronus puede ejecutar mysql sin proporcionar contraseña, vamos a usar esto para escalar nuestros privilegios.

Si te vas ah gtfobins y pones mysql te da los parametros para usarlo para escalar privilegios.

Los usamos como se ve en la captura hacemos un whoami somos root y tenemos la flag de root.

Y pues maquina resuelta.