BreakmySSH
Pasos Iniciales
- Descargar la maquina BreakmySSH de DockerLabs
- Teniendo la maquina en nuestro equipo debemos correr el siguiente comando para descomprimirla:
1
unzip BreakmySSH.zip
- Procedemos a iniciar maquina BreakmySSH con el siguiente comando:
1
2
3
4
#Con esto damos permisos de ejecución al archivo encargado de desplegarnos la máquina.
sudo chmod +x auto_deploy.sh
#Levantamos la maquina objetivo
sudo bash auto_deploy.sh BreakmySSH.tar
A partir de este momento ya tenemos nuestra maquina objetivo lista para comenzar a jugar con ella.
Reconocimiento y Enumeración
Para iniciar con esta máquina debemos verificar conexión con la maquina objetivo. Para ello le lanzamos el comando ping:
1
ping -c 1 172.17.0.2
Con este comando podemos ver que la maquina esta activa y tenemos alcance hacia ella.
Ahora que sabemos que el equipo este activo procedemos a realizar un escaneo de puertos, servicios y versiones utilizando la herramienta Nmap.
1
nmap -p- --open -sS --min-rate 5000 -vvv -n -Pn 172.17.0.2
Este comando al ejecutarlo con estos parámetros le estamos indicando lo siguiente:
1
2
3
4
5
6
7
-p- Escanea los 65535 puertos existentes
--open Reporta solo los puertos abiertos
-sS Realiza un stealth Scan el cual no completa el three-way handshake (SYN / SYN-ACK / RST)
--min-rate 5000 Procesa no menos de 5000 paquetes por segundo
-vvv Permitimos que nos retorne la salida conforme va procesando
-n Desactivamos resolucion de DNS
-Pn Desactivamos el HostDiscovery
Podemos ver que la maquina tiene 1 puerto abierto el 22 TCP
Identificación de versiones y posibles vulnerabilidades
1
nmap -p 22,80 -sVC 172.17.0.2
Tenemos el servicio SSH corriendo en el puerto 22 con la versión OpenSSH 7.7, validamos si existen exploit para esa versión de SSH con searchsploit.
Sin embargo, en lo personal utilice otro recurso para lograr enumerar usuarios.
Fuzzing
Encontramos el usuario lovely.
Explotación
Ahora como conocemos un usuario (lovely y por general existe un usuario root) vamos a probar con fuerza bruta conseguir la contraseña de los usuarios para conectarnos al servicio SSH. Para ello usaremos hydra con el siguiente comando:
1
2
hydra -l lovely -P /usr/share/wordlists/rockyou.txt ssh://172.17.0.2
hydra -l root -P /usr/share/wordlists/rockyou.txt ssh://172.17.0.2
Hemos encontrado ambas contraseñas lovely:rockyou y root:estrella con la cual nos podemos conectar por ssh al usuario de root.
Y con esto hemos terminado la maquinita.
Otra Posible Escalada
Si solo hubiéramos encontrado lovely y tuviéramos que realizar la Escalada en el directorio opt nos damos cuenta que existe un archivo .hash
en el cual nos encontramos el siguiente hash
1
aa87ddc5b4c24406d26ddad771ef44b0
Si lo traemos a nuestra maquina atacante y podemos usar Hashcat para identificar el tipo y hash y crackearlo le pasamos el hash a hashid y nos indica que pude ser cualquier de estos tipos, pero intuyendo probamos con md5
1
hashcat -m 0 hash /usr/share/wordlists/rockyou.txt
Y tenemos la contraseña.
Y con esto hemos terminado la maquinita…