Esta semana nuevamente estamos con el resumen del Blog en el cual vimos sobre BurpSuite, Escalamiento de Privilegios, Cheat Sheet y temas adicionales.

 

Lunes 25 de Enero - Comenze a resolver el reto de SickOS en el cual por simple y puro gusto me puse a querer resolver con BurpSuite y de ahí salio la siguiente entrada ademas de una que saldra mañana Lunes.

BurpSuite IV.1 Configurando Burp Suite para que salga a traves de proxy

Martes 26 de Enero- Eric compartió una entrada que creo que se vendra toda una serie sobre escalamiento de privilegios.

Escalando privilegios en windows sin exploits

Miercoles 27 de Enero - Comparti un Cheat Sheet de Netcar el cual viene de la mano del proyecto de Security Cheat Sheet.

Cheat Sheet de Netcat para la terminal

Jueves 28 de Enero -El jueves lanze una entrada para que los que tengan alguna duda o idea para abordar en el blog la realizen y de este modo se pueda generar contenido.

Pregunta a SniferL4bs

Viernes 29 de Enero - Compartimos un paper de Snat de CrackLatinos en el cual nos presento como crear una imagen maestra de Windows XP pero a considerar que esto puede ser usado en otros entornos.

Creación de una imagen maestra de Windows XP (.WIM)

Sabado 30 de Enero - Ayer se posteo la maquina vulnerable bueno no la maquina si no la solución a SickOS realizada por Eric en el cual nos muestra una manera de encarar el desafio.

Solucionando SickOS de VulnHub por @BalderramaEric

Domingo 31 de Enero - Hoy temprano mostre como encare SickOS y como reto personal la explotación desde el querido BurpSuite. 

Solucionando SickOS de VulnHub por @SniferL4bs

Esta semana  y mes que iniciamos mañana se viene con todo, ya que estuvimos con 26 entradas en Enero y esperamos seguir este mes con las entradas diarias.

Regards,

Snifer

Leer Mas

La segunda solución realizada por mi persona trata sobre SickOS ayer tuvimos la oportunidad de ver la de Eric aka @BalderramaEric su solución, y esta es la mia con otras herramientas pero funcional me diverti bastante espero les guste.

Solución SickOS

Enero .2015
Jose Moruno Cadima - Snifer

Objetivo

Obtener acceso al fichero /root/flag.txt

Herramientas usadas

Las herramientas usadas para el siguiente reto se encuentran disponibles en Kali Linux, adicionalmente se utilizo BurpSuite en la versión PRO cabe resaltar que es posible realizar con Burp FREE del mismo modo, sin ningun inconveniente.

• Nmap, BurpSuite.

Information Gathering

1. Enumeración de Equipos

Se realizo la enumeración de equipos partiendo que se encontraba en el segmento de red 10.0.0.1/24 considerando el /24 en base a la mascara de red 255.255.255.0

2. Enumeración de Puertos y Servicios

Se identificaron los siguientes puertos realizando el escaneo con nmap, en este caso al estar en un entorno controlado fue bastante facil identificar el objetivo por que ningun equipo de la red cuenta con dichos servicios (en el caso de que se tenga en una red mas grande se debe realizar el reconocimiento de puertos mas a fondo y determinar el objetivo a mas detalle.)

Una vez identificado se realizo el banner grabbing con el fin de identificar si los servicios cuentan con alguna vulnerabilidad difundida.

En la identificación me llamo primero la atención el SSH trate por contraseas por defecto y diccionario lo cual no me dio algun resulado. Por lo tanto toco irme por el Squid gracias al trabajo que realizo conozco de que trata y como se va por lo cual me puse a configurarlo en el navegador y ver que me devolvia a continuación el detalle del mismo.

Bueno hasta este punto funciono tuve la respuesta que esperaba sin ningun problema accedia al navegador y me devolvia al notar que era una aplicación web tome la decisión de trabajar con BurpSuite, en esto me atore por 4 horas en tratar de configurar como se debe el Proxy del Proxy al Proxy la respuesta que me resolvia mientras lo configuraba fue el siguiente. 

Una vez de tratar de configurar y pasar con pruebas tras prueba logre hacerlo de manera adecuada por ello comparti en una entrada el dia Lunes BurpSuite IV.1 Configurando Burp Suite para que salga a traves de proxy una vez logrado el objetivo de configurar debidamente por simple gusto personal BurpSuite ya que me agrada usarlo. 

Me puse a ejecutar el Spider de BurpSuite con el fin de identificar directorios o enlaces que me permitan ir viendo mas alla.

En este proceso trate de hacerlo tanto con el spider como tambien por el Discover Content ambos me dieron un par de resultados, para agilizar un poco use un diccionario como se ve a continuación.

Configurando un payload para identificar algunos directorios adicionales.

Los diccionarios que uso para descubrir son los que andan en el mismo kali lo de wfuzz dirbuster segun el uso que le vaya a dar.

Por otro lado el Content discovery me pillo algunos directorios y un fichero el connect.py

Tras dar un poco de tiempo identifico un directorio que me llamo la atención por el tipo de respuesta que me brindo el directorio cgi-bin/status
 

A la par BurpSuite con su analisis de vulnerabilidad que lleva consigo me identifico como posible ShellShock el directorio asi que trate de toda manera explotarlo desde el mismo BurpSuite pero por grajes del oficio no me dio, por cierto tengo pendiente explotarlo, pero se por donde debe ir ¬¬°. tras seguir probando e intentando como se debe explote de manera correcta, ya desde aquí la forma de explotar es la misma solo es cuestion de ver la manera de escalar siguiendo los pasos que vemos.

Posterior a ello tome la decisión de explotar por medio de CURL tambien, para ello lo realize de la siguiente forma lanzando la reverse shell desde bash, y en el otro lado esperando el amigo netcat para acceder al mismo, use la variable -x para que haga uso del proxy.

Me puse a ver que cosas tenia para lograr escalar privilegios ya que aun no andaba con una shell administrativa accediendo al passwd pero no al shadow asi que cracking password no era posible.

 

 

Buscando directorios interesantes y demas recorde el cms wolf que identifique dirijiendome al directorio di con el config y eureka tenemos credenciales.

Toco ver el acceso al directorio root. 

Tras ir probando  y viendo tome la decisión de levantar otra shell. 

Lo que hice una vez de escalar ademas de que anteriormente identifique al usuario sickos me parecio itneresante usar ese mismo y la contraseña que encontre para ver si lograba acceder y como ven si se contaba con privilegios.

Aquí tuve un problema que me tuvo con la cabeza pensativa por mas que intente no logre realizar el escalamiento completo porque no lograba leer otros directorios me suena mas que me trolleo la máquina. 

 Entonces para ir encontra de ello con el fin de lograr al realizar la shell reversa no la hice por medio ed bash si no con pythony vaya la sorpresa que me lleve! bingo logre realizar la lectura del directorio root y ver el fichero que necesitaba.

En esta maquina me diverti bastante ademas de aprender a manejar de mejor manera BurpSuite por cierto aun teng pendiente la explotación pde ShellShock por medio de BurpSuite, lo realizare y posteare la PoC respectiva, comentarles que en esta maquina se me pico la idea de armar un script que me permita identificar privilegios, ficheros y directorios,  para escalar privilegios como siempre publicare el código para el que lo quiera ver y colaborar ademas de que ya tiene nombre LevelUP lo haré en Python como siempre y espero que les guste esta entrada, la otra manera de solucionar esta maquina la presento @Eric ayer pueden verla aquí.

Regards,

Snifer

Leer Mas

Esta es la solución que corresponder a @BalderramaEric en la cual muestra como realizo la explotación de SickOS con nmap, nikto y escalar privilegios.

 
 Como siempre, comenzamos identificando  la máquina a atacar. con nmap -sn y utilizo -oG para guardar el output en un archivo.

Una vez identificado el target procedo a buscar puertos y servicios activos.

Para entender como funciona squid, presente en el puerto 3128 recurrí al sitio   

http://www.squid-cache.org/

Al acceder a la ip y puerto me mostraba un error

Configure un proxy manual en el browser colocando ip del target y puerto de squid.

Al ingresar a mi localhost visualice el siguiente texto.

Procedí a identificar puertos y servicios con nmap a través del target como proxy

Como resultado obtengo dos puertos más que antes no los había identificado.

Como es un webserver, utilizo nikto a través de proxy para llevar a cabo un análisis automatizado.

Nikto identifica que el target es vulnerable a shellshock

Comprobamos manualmente desde el browser.

Información útil sobre cómo explotar shellshock

http://security.stackexchange.com/questions/68122/what-is-a-specific-example-of-how-the-shellshock-bash-bug-could-be-exploited

Como había estado jugando con w3af me propuse buscar la manera de explotar esta vulnerabilidad con dicha herramienta que no deja de sorprenderme.

https://gist.github.com/andresriancho/1a259f01312c0c5ddd1e

Exploté shellshock con w3af pero no logré obtener una shell desde meterpreter, me guié con el siguiente material.

http://docs.w3af.org/en/latest/advanced-exploitation.html

http://thehackerway.com/2011/06/02/integrando-herramientas-del-arsenal-metasploit-framework-y-w3af-hot-topic/

Entonces decidí explotar manualmente y abrir un socket para poder obtener una reverse shell con netcat.

Una vez que levantamos la shell analizé los directorios y permisos.

En el path /var/www/ identifiqué wolfcms que al analizar sus archivos di con un user y pass.

Luego de intentar por distintos medios ingresar con esas credenciales

Levanté una shell con más prestaciones.

Listé usuarios existentes en el sistema.

Probé escalar privilegios con sickos como user más la pass obtenida en el config del wolfcms.

Luego de buscar un poco obtuve la flag.

Saludos ,

Leer Mas