Mr Robot es una máquina de dificultad media que se encuentra en TryHackMe, cuenta con una guía de vídeo por youtube y te brinda pistas por si te atoras en alguna parte del proceso de Hacking.
Reconocimiento
Para el inicio del reconocimiento activo de la máquina hacemos un escaneo con nmap.
nmap -sCV -Pn -p- --min-rate 400 --reason -vvvv IP -oN ScripsMrRobot# Dentro de este proceso nos saltaremos el descubrimiento de hosts y de puertos abiertos ya que al ser un entorno controlado sabemos la IP que debemos auditar #
El escaneo que se realizó anteriormente nos arrojó los puertos 22,443 y 80 con esto ya podemos hacernos una idea de que la máquina cuenta con un servicio SSH habilitado y HTTP como HTTPS.
ENUMERACIÓN
El escaneo en general no nos arrojó mucha información valiosa de la cual podamos comprometer al host remoto, por lo que iniciamos con la fase de enumeración web.
Al realizar un ataque de fuerza bruta de directorios para la IP otorgada pudimos observar varias rutas que estaban habilitadas, sobre esto se definió que robots.txt estaba mal configurado, el servidor web corré un servicio de wordpress y se tiene acceso a directorios que no deberían ser accesibles al dominio público.
dirb http://IP
O usar
gobuster dir -u http://IP -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt
Continuando con la enumeración y el análisis de la información que se obtuvo, al ingresar a robots.txt se mostraban fsocity.disc y key-1-of-3.txt
Después de pasar un tiempo revisando y hacer uso de wpscan para obtener credenciales válidas se encontró posible información sensible en la ruta http://IP/license.
Para descifrar este texto tenemos 2 opciones, hacer uso de base64 desde nuestra terminal en linux o utilizar de manera directa cyberchef, para este caso se utilizó el siguiente comando para descrifar la información.
echo "CADENAENBASE64" | base64 -dSe reveló información que podría ser un usuario para wordpress o ssh.
El acceso por SSH no fue exitoso sin embargo si fue posible acceder al dashboard de wordpress.
Al investigar la versión de wordpress 4.3.1 se identificaron múltiples vulnerabilidades para poder explotar el servicio.
EXPLOTACIÓN
Una de las vulnerabilidades que presenta wordpress en versiones obsoletas es el poder manipular uno de los archivos de un tema cargado para poder solicitar una reverse shell.
Pentest monkey nos brinda de dicho código malicioso, lo único que debemos hacer es cambiar el valor de las variables de nuestra IP Atacante y el puerto que estableceremos a la escucha para recibir la reverse shell.
Si nos dirigimos a la ruta http://IP/wp-content/themes/twentyfifteen/404.php podemos obtener una reverse shell teniendo un puerto a la escucha.
nc -lnvp PUERTOELEGIDO
ejemplo:
nc -lnvp 443Esto nos dió acceso como un proceso secundario de bajos privilegios, realizando una enumeración de usuarios que tienen un directorio creado en "home" nos encontramos con lo siguiente.
Por otro lado también se realizó una enumeración para identificar posibles binarios con malas configuraciones establecidas como sería SUID, resultando en el hallazgo de que nmap contaba con dichos permisos.
Nos dirigimos a GTFOBins para obtener el método de explotación y escalar privilegios.
nmap --interactive
!/bin/shAl ejecutar el comando obtenemos una shell con privilegios elevados com root.
Aplicando un comando de busqueda para las llaves faltantes estas pudieron ser localizadas y leídas.
find / -type f -iname "*-of-3.txt" -exec ls -la {} + 2>/dev/null
