search

Biling

hashtag
1. Introducción

Se llevó a cabo un análisis de seguridad sobre una máquina accesible en la red interna de TryHackMe, con IP 10.10.154.92. El objetivo fue identificar vectores de ataque, explotar vulnerabilidades y obtener acceso privilegiado, documentando cada paso del proceso incluyendo intentos fallidos para futuras referencias.

hashtag
2. Escaneo inicial

Herramienta utilizada: NmapComandos ejecutados:

nmap -Pn -n -sS -p- --min-rate 5000 -oG nmap 10.10.154.92
nmap -sVC -p22,80,3306,5038 -oG os 10.10.154.92

Resumen de resultados:

22/tcp    open  ssh     OpenSSH 8.4p1 Debian 5+deb11u3 (protocol 2.0)
80/tcp    open  http    Apache httpd 2.4.56 ((Debian))
3306/tcp  open  mysql   MariaDB (acceso no autorizado)
5038/tcp  open  asterisk Asterisk Call Manager 2.10.6

hashtag
3. Enumeración

HTTP (puerto 80):

  • Navegación web reveló una instancia del sistema MagnusBilling en la ruta /mbilling.

  • Inspección de scripts JavaScript y rutas web no reveló archivos sensibles.

  • robots.txt no contenían información útil.

MySQL (3306): Acceso denegado, sin banners útiles.5038 – Asterisk AMI: Servicio identificado pero sin autenticación anónima permitida.Búsqueda de vulnerabilidades:

  • searchsploit no arrojó resultados relevantes.

  • Búsqueda manual en Google mostró una vulnerabilidad crítica:

    • CVE-2023-30258: MagnusBilling posee inyección de comandos no autenticada en icepay.php

      • https://attackerkb.com/topics/DFUJhaM5dL/cve-2023-30258

Vectores fallidos:

  • Fuzzing manual en directorios y endpoints de MagnusBilling sin resultados positivos.

  • Uso de gobuster y wfuzz no encontró rutas sensibles adicionales.

hashtag
4. Explotación

Exploit funcional: Prueba:

Exploit:

Shell inversa establecida:

Mejora de TTY:

Métodos fallidos de explotación:

  • Uso de payloads con php-reverse-shell.php sin éxito.

  • Uso directo del módulo de Metasploit sin establecer sesión.

hashtag
5. Escalada de privilegios

Usuario inicial: asteriskEvaluación de sudo:

Resultado:

Restricciones:

  • No se podía escribir en /etc/fail2ban directamente (error de permisos).

  • nano no permitía guardar cambios sin privilegios.

Explotación exitosa mediante Fail2Ban: Condiciones cumplidas:

  • Se tenía permiso de escritura en /etc/fail2ban/action.d.

  • Se podía reiniciar Fail2Ban mediante sudo.

Procedimiento completo:

Basado en esta escalamiento https://juggernaut-sec.com/fail2ban-lpe/

Root shell obtenida con:

Intentos fallidos de escalada:

  • Uso directo de fail2ban-client set sshd action /tmp/... resultó en error de validación.

  • Edición directa de iptables-multiport.conf falló por permisos en sed temporal.

hashtag
6. Hallazgos clave

  • Acceso inicial no autenticado mediante vulnerabilidad crítica en icepay.php (CVE-2023-30258).

  • Configuración insegura de Fail2Ban permitió escalar a root sin password.

  • Bit SUID en /tmp/bash permitió acceso permanente como root tras reinicio del servicio.

hashtag
7. Pasos siguientes

  • Validar presencia de otras configuraciones SUID en el sistema.

  • Revisar logs de /var/log/auth.log y /var/log/fail2ban.log para rastrear actividad del atacante.

  • Eliminar /tmp/bash y restaurar configuración original de Fail2Ban.

hashtag
8. Conclusión

La máquina fue comprometida a través de una vulnerabilidad conocida en MagnusBilling. Una vez dentro, se aprovechó una configuración insegura del servicio Fail2Ban para escalar privilegios. Este caso demuestra cómo una mala configuración de servicios comunes, combinada con software desactualizado, puede derivar en una toma total del sistema. Se recomienda:

  • Aplicar parches de seguridad en MagnusBilling.

  • Restringir permisos de escritura en /etc/fail2ban.

  • Auditar configuraciones sudo y servicios con privilegios elevados.

AnteriorBasic PentestingSiguienteGrep - THM

Última actualización