Dificultad:聽F谩cil
En primer lugar, nos creamos un directorio con el nombre de la m谩quina desde el que trabajaremos:聽
sudo mkdir Blue
Ahora, mediante la funci贸n聽mkt
聽que tengo previamente definida en la聽.zshrc
聽crearemos nuestros directorios de trabajo:
sudo mkt
Esta funci贸n est谩 definida para crearnos cuatro directorios (nmap
,聽content
,聽exploits
聽y聽scripts
) desde los cuales poder trabajar a la hora de realizar las m谩quinas de HTB.
ping
聽y vemos como nos reporta un ttl=127, por tanto, ya sabemos que estamos frente una m谩quina Windows.
ping -c 1 10.10.10.40
nmap -p- --open -sS --min-rate 5000 -vvv -n -Pn 10.10.10.40 -oG allPorts
-p-
: Escanea todo el rango de puertos.--open
: Solo nos mostrar谩 puertos con el estatus abierto.-sS
: El escaneo SYN realizar r谩pidamente, escaneando miles de puertos por segundo en una red r谩pida que no se ve obstaculizada por firewalls intrusivos.--min-rate
: Controla directamente la tasa de escaneo. Nmap intentar谩 mantener la velocidad de env铆o en 5000 paquetes por segundo o m谩s.-vvv
: Triple verbose. Recopila los puertos abiertos por TCP y los reporta por consola. Cuanto m谩s verbose m谩s informaci贸n reporta mientras se realiza el escaneneo.-n
聽: Anula la resoluci贸n DNS.Vemos como nos reporta los puertos 135,139,445 y 49157. Lo que de momento m谩s me llama la atenci贸n es que por el puerto 445 corre un servicio聽microsoft-ds
. Vamos a realizr un segundo escaneo mediante聽nmap
聽lanzado una serie de scripts de reconocimiento para ver si nos reporta algo m谩s de informaci贸n de estos puertos en concreto.
nmap -sC -sV -v -n -p135,139,445,49157 10.10.10.40 -oG target
-sC
: Lanza scrips b谩sicos de reconocimiento.-sV
: Localiza la versi贸n y servicio de los puertos definidos.-p
: Puertos a escanear.-oN
聽: Reporta los resultados en formato nmap al archivo聽target
.Vemos como nos da un poco m谩s de informaci贸n, pero lo m谩s interesante es que nos reporta la versi贸n exacta del sistema Windows, que este caso nos reporta un聽Windows 7 Professional 6.1
.
Ahora vamos utilizar聽nmap
para lanzar un script m谩s especifico y tratar de reportar alguna vulnerabilidad para est谩 versi贸n de Windows 7. Pero primero vamos a comprobar que disponemos del script. Para poder ver todo los scripts de nmap
, podemos utilizar el comando聽locate .nse
, donde se nos desplegar谩 una lista de todos los disponibles.
locate .nse
Ahora para poder filtrar un poco los resultados, de forma paralela concatenamos un聽xargs grep "categories"
聽y de est谩 forma filtraremos por todos los resultados que incluyen la palabra聽categories
.
locate .nse | xargs grep "categories"
Y ahora para terminar de filtrar los resultados dentro de categories, vamos a quedarnos solo con los resultados que nos especifican los scripts entre comillas, lo cual se conoce como聽DATA
. Para poder filtrar pro data utilizaremos la expresi贸n regular聽'".*?"'
聽de la siguiente manera:
locate .nse | xargs grep "categories" | grep -oP '".*?"'
Finalmente vamos a quitar las categorias que se repitan mediante聽sort -u
:
locate .nse | xargs grep "categories" | grep -oP '".*?"' | sort -u
Bien, ahora para lanzar los scripts que deseamos que son聽vuln
聽y聽safe
, b谩sicamente estos scripts lanzan un chequeo para tratar de reportar las vulnerabilidades conocidas del sistema y聽safe
聽lo utilizamos para no causar ning煤n tipo de denegaci贸n de servicio en el sistema que vamos a escanear.
nmap --script "vuln and safe" -p445 10.10.10.40 -oN smbScan
--script "vuln and safe"
: Especifica los scripts que vamos a utilizar.-p445
: Especifica el puerto que vamos a chequear.-oN smbScan
聽: Exporta los resultados en formato nmap al archivo smbScan.Vemos como nos reporta que este sistema es vulnerable al聽ms17-010
聽m谩s conocido como EthernalBlue. Ahora que ya conocemos una vulnerabilidad vamos a tratar de buscar un exploit funcional.
searchsploit ms17-010
Vemos que聽Metasploit
聽nos reporta el exploit聽SMB Remote Code Execution Scanner (MS17-010) (Metasploit)
. Vamos abrir Metasploit y a buscar si disponemos del exploit.
Abrimos Metasploit:
msfconsole
Ahora buscamos filtrando por la vulnerabilidad聽ms17-010
:
search ms17-010
Vemos como la vulnerabilidad EthernarBlue aparece la primera, para seleccionarla utilizamos el comando聽use
聽y especificamos el n煤mero del聽exploit
聽en la lista, en este caso el聽0
:
use 0
Ahora que ya tenemos el exploit seleccionado, tenemos que configurarlo y preparado para el ataque. Para ver las opciones del exploit utilizamos el comando聽options
:
Para configurar el exploit debemos modificar el聽RHOSTS
聽que es la Ip de la v铆ctima, el聽LHOST
聽que ser谩 nuestra Ip p煤blica, en este caso la VPN de hack the box y finalmente, especificamos el puerto de escucha聽LPORT
.
Finalmete ejecutamos el exploit:
exploit
Si todo funciona correctamente se nos tendr铆a que abrir una shell. En caso de daros alg煤n error, es posible que teng谩is que reiniciar la m谩quina y el Metasploit y volver a intentar el ataque.
Esta vulnerabilidad es muy grave, ya que mediante este exploit pasamos a tenerlos m谩ximos privilegios, por tanto, podemos ver todos los archivos, incluida la flaf de聽root
.
Para encontrar la primera flag simplemente nos dirigimos al directorio聽C:\Users\haris\Desktop
: