Dance Samba, DockerLabs
Herramientas y recursos
En este reto de DockerLabs explotaremos samba , usaremos ftp, escalada con …..
| Tecnicas | Herramientas |
|---|---|
| scan de puertos | nmap |
| Acceso anonimo | ftp |
| Enumeracion samba | enum4linux |
| fuerza bruta | nxc |
| Autenticación SSH con claves | ssh-keygen |
| decode | base64 y base32 |
Reconocimiento y enumeracion
Lo primero como siempre le tiramos un nmap con los parámetros de costumbre.
1
sudo nmap -p- -sS -sC -sV --min-rate=5000 -n -Pn -oX dance-samba
Como muestra el reporte tenemos el el 21 ssh , el 22, el 139 y el 445 , lo primero que voy a hacer es entrar por ftp dado que nmap nos reporta que tiene activado el login con anonymous.
Vemos que tenemos un fichero asi que lo descargamos para ver su contenido.
El contenido es el siguente:
Vemos que tenemos dos posibles usuarios macarena,donald , asi que voy a trata de averiguar con nxc la contraseña de samba para alguno de ellos.
1
nxc smb 172.17.0.2 -u 'macarena' --ignore-pw-decoding -p ~/Descargas/rockyou.txt
Valla el pass de samba para macarena es donald pero antes vamos a asegurarnos de cuales son sus recursos compartidos.
1
enum4linux -a 172.17.0.2
Comparte una carpeta igual a su nombre,curioso asi que vamos a ver que esconde.
1
smbclient //172.17.0.2/macarena -U 'macarena%donald'
Descargo el que dice user.txt y segun los ficheros que hay parece ser el home de macarena, primero vamos a ver que contiene el user.txt.
Al ojo pareciera un hash md5 , probe en varias web pero no devolvia nada coerente y tambien con el amigo john con los dos tipos que indica hash-identifier pero tampoco encontro nada , asi que lo unico que creo se puede hacer y si es verdad que es el home de macarena vamos a crear un par de claves ssh y subirlas por samba.
Crear claves:
1
ssh-keygen -t rsa -b 4096 -f id_rsa_ctf
Ahora procedemos a subir la llave publica como authorized_keys , cuando os pida passphrase yo no le he puesto nada , pero podeis poner lo que querais si os apetece escribir.
Una vez creadas nos volvemos a samba para subir la clave publica,primero creamos el directorio .ssh luego entramos, subimos la clave y cruzamos los dedos por si hay problemos con los permisos del fichero authorized_keys
1
2
3
4
smbclient //172.17.0.2/macarena -U 'macarena%donald'
mkdir .ssh
cd .ssh
put id_rsa_ctf.pub authorized_keys
Y ahora probamos a entrar y entra del tiron , hubiesemos podido no conseguirlo si ssh detectaba que los permisos no eran correctos porque por lo general o son 600 o 400 y esta imagen veis como quedo.
Bueno ya estamos dentro ahora a ver que nos dejaron. lo primero que veo es que solo esta macarena y root por tanto debemos escalar a root directo.
Hay dos ficheros curiosos pero uno es el que puedo leer el contenido en /home/secret , nombre hash en principio aunque parece b64 tienen tres igual al final.
Primer intento
1
echo 'MMZVM522LBFHUWSXJYYWG3KWO5MVQTT2MQZDS6K2IE6T2===' | base64 -d
obtengo mugre binaria asi que pruebo en b32
1
echo "MMZVM522LBFHUWSXJYYWG3KWO5MVQTT2MQZDS6K2IE6T2===" | base32 -d
Y esto si que me da una cadena de b64 valida asi que la decodifico de nuevo en b64
Obtenemos el pass y no accedemos a root que guay , llegados hasta aqui nos acordamos que habia un fichero de root en /opt, y que antes sudo -l nos pedia el pass y el que estaba en b32 es el de macarena al ejecutar sudo -l y darle el password vemos que ha dejado file para que podamos leer el fichero de /opt.
1
2
LFILE=/opt/password.txt
sudo -u root /usr/bin/file -f $LFILE
Ahora obtenemos otra pass que esta si debe ser la de root.
Ahora si hasta aqui esta maquinita , aprender, disfrutar, y compartir , muchas gracias por leer.
Divertida la escalada con el tema de las contraseñas , buena maquina la de este hombre.
Comments powered by Disqus.