Atom

Fase de reconocimiento

Primero como siempre hay que hacer un escaneo de nmap para encontrar los siguientes puertos abiertos:

  • 623 (UDP) IPMI, es una plataforma para manejar aspectos del hardware del servidor, recuperar/restaurar el servidor y listar el inventario del hardware entre muchas más cosas. (Puedes investigar más en HackTricks)

  • 22 (SSH)

Vamos a comprobar que es vulnerable a IPMI con metasploit y podemos comprobar con claridad que es vulnerable:

También podemos revisar que versión a que versión de IPMI nos enfrentamos la cual es 2.0:

Fase de intrusión

Para extraer la contraseña y usuario hay otro modulo así que lo corremos:

Ahora con esos credenciales podríamos con ipmitool enumerar los usuarios y creamos un archivo con los usuarios, ahora lo que vamos a hacer el extraer todos los usuarios y contraseñas para posteriormente hacer un ataque con hydra al ssh con los credenciales:

Vamos a volver al modulo de metasploit y lo vamos a volver a usar pero esta vez con la lista de usuarios y con un un archivo el cual va a exportar la lista de hashes para que hashcat lo pueda crackear:

Una vez obtenidos los usuarios y contraseñas, tendremos que separarlos para poder hacer el ataque con hydra:

Separamos los usuarios y contraseñas:

Parece haber una web en el puerto 80, con "ss -altpn" encuentras las ips dentro del equipo

Escalada de privilegios

Eso me llama la atención, voy a ir al directorio donde se almacenan las páginas web y reviso los ficheros y encuentro uno curioso en el cual encuentro un hash:

Lo paso por hashcat y doy con la contraseña valida:

Ya somos root!

Conclusión

En esta máquina, logramos la intrusión y escalada de privilegios aprovechando varias debilidades:

  • Reconocimiento y explotación de IPMI mediante metasploit y impitool

  • Ataque de fuerza bruta con hashcat para crackear el hash y de las contraseñas y poder acceder al SSH

  • Escalación de privilegios mediante la detección de un servicio de aplicación web interno y crackeado de hash para obtener la password de root con hashcat

Last updated