# Atom

<figure><img src="/files/839a48TkKFiOhUAuh2oE" alt=""><figcaption></figcaption></figure>

## Fase de reconocimiento

Primero como siempre hay que hacer un escaneo de nmap para encontrar los siguientes puertos abiertos:

* 623 (UDP) IPMI, es una plataforma para manejar aspectos del hardware del servidor, recuperar/restaurar el servidor y listar el inventario del hardware entre muchas más cosas. (Puedes investigar más en [HackTricks](https://book.hacktricks.xyz/es/network-services-pentesting/623-udp-ipmi))
* 22 (SSH)

<figure><img src="/files/TtucXJt5VtKBZwMDYi4M" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/4fojQULdLTTcEQY4e16P" alt=""><figcaption></figcaption></figure>

Vamos a comprobar que es vulnerable a IPMI con metasploit y podemos comprobar con claridad que es vulnerable:

<figure><img src="/files/gUVMZC42MSbEI2cun429" alt=""><figcaption></figcaption></figure>

También podemos revisar que versión a que versión de IPMI nos enfrentamos la cual es 2.0:

<figure><img src="/files/5xjIl1rW5vtng3dt5O8j" alt=""><figcaption></figcaption></figure>

## Fase de intrusión

Para extraer la contraseña y usuario hay otro modulo así que lo corremos:

<figure><img src="/files/zT1buBcldvjATcTEGSd8" alt=""><figcaption></figcaption></figure>

Ahora con esos credenciales podríamos con ipmitool enumerar los usuarios y creamos un archivo con los usuarios, ahora lo que vamos a hacer el extraer todos los usuarios y contraseñas para posteriormente hacer un ataque con hydra al ssh con los credenciales:

<figure><img src="/files/FTWZ866flQbdUS2AEVdT" alt=""><figcaption></figcaption></figure>

Vamos a volver al modulo de metasploit y lo vamos a volver a usar pero esta vez con la lista de usuarios y con un un archivo el cual va a exportar la lista de hashes para que hashcat lo pueda crackear:

<figure><img src="/files/w5OBJlDQP5xV9cskHFpV" alt=""><figcaption></figcaption></figure>

Una vez obtenidos los usuarios y contraseñas, tendremos que separarlos para poder hacer el ataque con hydra:

<figure><img src="/files/CqJk2dsiKHJK3XLcZH6c" alt=""><figcaption></figcaption></figure>

Separamos los usuarios y contraseñas:

<figure><img src="/files/IID9Kd2XY8PW5b6OM0aP" alt=""><figcaption></figcaption></figure>

Parece haber una web en el puerto 80, con "ss -altpn" encuentras las ips dentro del equipo

<figure><img src="/files/tACoJVuUFcX3IF4he1RX" alt=""><figcaption></figcaption></figure>

## Escalada de privilegios

Eso me llama la atención, voy a ir al directorio donde se almacenan las páginas web y reviso los ficheros y encuentro uno curioso en el cual encuentro un hash:

<figure><img src="/files/3fobabz1Sd0gcNNKvu5Q" alt=""><figcaption></figcaption></figure>

Lo paso por hashcat y doy con la contraseña valida:

<figure><img src="/files/h1FbnuYWyjKL4iBD8a9V" alt=""><figcaption></figcaption></figure>

Ya somos root!

<figure><img src="/files/IMljkCUGnjSZOb8pJavE" alt=""><figcaption></figcaption></figure>

## Conclusión

En esta máquina, logramos la intrusión y escalada de privilegios aprovechando varias debilidades:

* Reconocimiento y explotación de IPMI mediante **metasploit** y **impitool**
* Ataque de fuerza bruta con **hashcat** para crackear el hash y de las contraseñas y poder acceder al SSH
* Escalación de privilegios mediante la detección de un servicio de aplicación web interno y crackeado de hash para obtener la password de root con **hashcat**


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://burple.gitbook.io/burple/hackmyvm/facil/atom.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.