Writeup #Kiotropix3 #vulnhub

Continuando con la serie de maquinas vulnerables de Kiotropix, esta vez voy a resolver la tercera que se corresponde también con la versión 1.2.

Esta vez para hacer un sweep ping a la red, voy a usar un script en bash que hice de uno de los ejercicios iniciales que proponen en el OSCP.

#!/bin/bash

file="tmp.scan"

for ip in {1..254}; do
    ping -c 1 192.168.1.$ip | grep ttl | cut -d" " -f 4 | tr '\:' ' ' >> $file &
done

for ip in $(cat $file); do
    echo $ip $(host $ip | awk '{print $5}')
done
rm $file

kio3_sp

Obtenemos de una forma muy rápida todas las máquinas de la red, y vemos que la IP del objetivo es la 192.168.1.105

Si miramos el README.txt pone que debemos modificar el fichero hosts, para relacionar la IP de la máquina con el nombre de dominio kiotropix3.com, haciendo de DNS.

# echo “192.168.1.105    kioptrix3.com” >> /etc/hosts

Una vez hecho esto y localizado el objetivo, procedemos a escanear los servicios que tiene disponibles con nmap.

# nmap -A -T5 -Pn -n -oN nmap_scan.txt 192.168.1.105

kio3_nmap

HTTP / 80

Si accedemos en el navegador a la url http://kiotropix3.com debería resolver el nombre de dominio correctamente con la entrada que hicimos en el fichero /etc/hosts.

Tenemos 4 zonas visibles dentro de la web:

Home, Blog, Login y Gallery

Si accedemos al Panel de Login podemos ver abajo de Login que se trata de un CMS llamado LotusCMS.

kio3_web_login

Buscando en seachsploit, vemos que existe algún exploit para este CMS.

kio3_searchexploit_lotuscms

Vemos que el primero que saca tiene módulo para metasploit, por lo que vamos a usar esta herramienta para variar un poco.

# msfconsole

Dentro de metasploit, buscamos el exploit de lotuscms con el comando search, lo cargamos con use y configuramos los parámetros que hay disponibles, para verlos se usa el comando show options.

Una vez configurado todo, lanzamos el exploit con el comando run o exploit.

kio3_msf_meterpreter

Al ejecutar el exploit, nos devuelve una sesión meterpreter en la que podemos ejecutar comandos para interactuar con el sistema, con el comando help podemos verlos.

Yo en este caso ejecute el comando shell para tener una terminal en el sistema.

 

ESCALADA DE PRIVILEGIOS

Vamos a recolectar un poco de información para ver posibles vectores de ataque y escalar privilegios en el sistema.

uname -a

lsb_release -a

kio3_cpu_info

Para ese kernel hay 2 exploits con escalada de privilegios, y para Ubuntu 8.04 no muestra ninguno searchsploit.

kio3_searchsploit_kernel

Compilé y ejecute estos 2 exploits pero ninguno me devolvió root, así que continuamos buscando mas información.

kio3_netstatA parte del 80 y 22 tiene el puerto 3306 pero solo accesible desde local.

Por si no sabemos a que servicio corresponde un puerto yo siempre utilizo el siguiente comando:

kio3_services

cat /etc/passwd

kio3_passwd

Tenemos 2 usuarios en el sistema loneferret y dreg, los cuales podemos usar para intentar loguearnos en mysql o ssh.

En este caso utilicé la herramienta de hydra para hacer fuerza bruta al ssh.

$ hydra -l loneferret -P /usr/share/wordlists/rockyou.txt 192.168.1.105 ssh

Tras unos segundos obtenemos las credenciales: loneferret : starwars

kio3_hydra

ssh loneferret@192.168.1.105

Lo primero que pruebo al iniciar la sesión es si podemos loguearnos como root con sudo su, pero este usuario no esta en el fichero sudoers.

Listamos los ficheros del directorio home del usuario y vemos el historial de comandos para ver que podemos sacar de ahí:

ls -al

cat .bash_history

kio3_home_lone

Vemos que se ha ejecutado el comando sudo ht, lo buscamos y miramos los permisos.

kio3_ht

Vale, deja ejecutar a cualquier usuario el binario, con permisos de root, lo ejecutamos con sudo ht para ver que nos encontramos.

kio3_sudoers

Vemos que es un visor de logs que encima puede editar ficheros con permisos de root, por lo que editando /etc/sudoers podremos darnos todos los permisos.

F3

/etc/sudoers

loneferret ALL=(ALL) ALL

F2

F10

Con estos pasos procedemos a ejecutar sudo su para ver si conseguimos root en la máquina.

kio3_root

Y ahí esta! root para dentro !

Como final decir que cuando termino de hacer un writeup sobre máquinas vulnerables, siempre busco otros walkthroughs para ver otras técnicas y herramientas, ya que existen muchas formas de explotar un sistema y te da nuevas ideas y formas de actuar para atacar a futuras máquinas.

 

 

 

 

Esta entrada fue publicada en Vulnhub. Guarda el enlace permanente.

Una respuesta a Writeup #Kiotropix3 #vulnhub

  1. Pingback: Writeup #MrRobot #Vulnhub | riesc0.com

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s