Taller práctico de pentesting

Taller práctico de pentesting

Tiempo de lectura estimado: 6 minutos


Esta conferencia magistral pertenece al Módulo 9 “Pentesting” de C1b3rWall Academy 2021/2022. El objetivo de la misma es realizar un ejercicio práctico de pentesting de Hack The Box.

Primeros pasos

El primer paso que suelo llevar a cabo es utilizar la herramienta nmap para escanear los puertos y más. Escanearemos primero TCP y si no encontramos nada haremos un escaneo UDP. Con -p podemos especificar un rango de puertos e investigar alguno en concreto. Después utilizaremos opciones más completas como -sv que nos permite detectar qué servicios y versión se está ejecutando en cada puerto. El parámetro -sc también es útil para recopilar aún más información del activo.

Comenzamos con -t4 o -t5 ya que puede ir más rápido y nos saca todos los puertos abiertos que tiene el servidor. Aplicamos -sc y -sv a ellos. Miramos si podemos listar algo del smb sin credenciales con smbmap poniendo el host, no nos deja sin credenciales. Pondremos como nombre de dominio driver.htb.

Miraremos la web, ya con driver.htb y nos solicita credenciales. Utilizaremos ffuf para tratar de encontrar algún directorio o fichero que no sabemos que existe o que nos dé más información, antes de probar un ataque de fuerza bruta.

Utilizaremos un diccionario de SecLists y que busque directorios o ficheros en la raíz. Nos encuentra la carpeta llamada images pero no entramos. Usaremos Burp Suite para interceptar las conexiones que hagamos. Burp nos intercepta la petición y la envía al repeater para poder manipularla y lanzarla todas las veces que queramos.

Con intruder, una herramienta de Burp Suite, nos permite hacer ataques de fuerza bruta en aplicaciones web, en este caso al autenticate. Seleccionamos el tipo de ataque sniper, en payload, custom iterator y en la posición 1 añadimos el nombre de usuario, sino pasaremos al diccionario. en el separador ponemos dos puntos.

En la posición 2 cargamos la lista de contraseñas de Burp Suite y en payload procesing añadimos la codificación en base 64 y desmarcamos URL encoding. Comenzamos el ataque.

Una de las peticiones nos devuelve status 200 en vez de 401, es decir, una petición satisfactoria. Ese es el header correcto, lo enviamos al repeater y no dice que las credenciales son admin:admin.

Entramos y ya tenemos acceso a la aplicación web en sí, es un centro de actualizaciones de MFP. En la pestaña de firmware updates nos dice que subamos el fichero de actualización. Comprobamos que podemos subir cualquier tipo de fichero y subimos una webshell php.

Utilizamos ese header y le decimos al ffuf que busque ficheros php. No encuentra el sitio al que nuestro fichero php se ha subido. Mientras, con smb file upload attack capturaremos los hashes del usuario cuando abran esos ficheros dentro del smb.

Activamos responder para que escuche y robamos el hash del usuario tony. Intentaremos crackear el hash con hashcat y con el diccionario de 1 billón de contraseñas más comunes capturamos sus credenciales.

Escalada de privilegios

Utilizaremos la herramienta evil-winrm para conectarnos desde un Linux de forma remota a un servidor Windows con el rm activado. Entramos dentro de la máquina de tony y cogemos la flag de usuario para meterla en Hack The Box y nos faltaría la parte de escalada de privilegios.

Utilizaremos winpeas, que nos enumera todos los servicios, redes, usuarios… dentro de un servidor y nos da pistas de qué podemos utilizar para escalar privilegios. Descubrimos el proceso spoolsv, que fue exploiteado antes con PrintNightmare.

Una vez subido a la máquina, nos crea un nuevo usuario con permisos de administrador pudiendo dar por concluida la máquina.

En la masterclass en vídeo se muestra el ejercicio de forma práctica.


¿Todavía no formas parte de C1b3rWall Academy? El contenido es gratuito, únete a otras 30.000 personas desde este enlace.

                   

Si te interesa este tema, puedes consultar la información y cursar el Máster en Ciberseguridad o ver la oferta de másteres desde aquí.


Ponente: Manuel López Pérez
Pertenece al grupo de investigación BISITE, es analista en ciberseguridad y profesor en el máster de ciberseguridad de la USAL. Además, es miembro de la selección española de ciberseguridad (INCIBE).

¿Cuál es tu reacción?

like

dislike

love

funny

angry

sad

wow

Acción formativa gratuita en ciberseguridad. Web: https://c1b3rwallacademy.usal.es/