Introducción
Con este post se inicia una pequeña serie de artículos con las soluciones a determinadas máquinas de Vulhub (https://www.vulnhub.com/) cuyo nivel de dificultad es parecido a algunas de las máquinas que hay en el laboratorio de la certificación OSCP (https://www.offensive-security.com/information-security-certifications/oscp-offensive-security-certified-professional/) y que por tanto pueden servir como preparación para la certificación (o refrescar conocimientos). El listado de estas máquinas, ordenado de mayor a menor dificultad, es:
- Kioptrix 2014 https://www.vulnhub.com/entry/kioptrix-2014-5,62/
- FristiLeaks https://www.vulnhub.com/entry/fristileaks-13,133/
- Stapler https://www.vulnhub.com/entry/stapler-1,150/
- VulnOS https://www.vulnhub.com/entry/vulnos-2,147/
- SickOs https://www.vulnhub.com/entry/sickos-12,144/
- Brainpan https://www.vulnhub.com/entry/brainpan-1,51/
- HackLAB Vulnix https://www.vulnhub.com/entry/hacklab-vulnix,48/
- /dev/random scream https://www.vulnhub.com/entry/devrandom-scream,47/
- pWnOS https://www.vulnhub.com/entry/pwnos-20-pre-release,34/
- SkyTower https://www.vulnhub.com/entry/skytower-1,96/
Ahora es turno de ver cómo se resuelve la máquina Kioptrix 2014, y de la metodología que se ha seguido, paso a paso. En el resto de máquinas no se ofrecerá tanto detalle como en esta.
Information gathering
Información, la información es la clave. Enumerar, enumerar y volver a enumerar. Cuanta más información se obtenga del objetivo más fácil será ganar la partida, conseguir llegar a ser root.
Para empezar, obviamente, lo primero es obtener la dirección IP de la máquina objetivo. Esto se consigue mediante el uso del comando “netdiscover -r “:
![]()
Una vez ya se sabe la dirección IP el siguiente paso es realizar una enumeración de puertos e identificación de servicios. Es necesario conocer cómo la máquina se comunica con el exterior, ya que estas comunicaciones serán los potenciales vectores de entrada.
Nota: En algunos libros/metodologías he visto como esta “parte” se considera una fase independiente de “information gathering”, sin embargo, personalmente yo creo que debe estar incluida dentro.
Para realizar la enumeración de servicios (port scanning) existen diferentes tools y maneras de proceder.En este caso, se va a intentar realizarlo de la manera más eficaz posible y comprobando todos los puertos.
1-Se realiza un scan de los 100 puertos más importantes: nmap -T4 -Pn -F –open –reason $Ip
![]()
Se han obtenido los siguiente resultados:
a) Puerto 80 con un servicio http
b) Puerto 8080 con un servicio HTTP-proxy
2- Obtener más información de los servicios detectados en el paso 1. El comando es: nmap -T4 -Pn -sV -O -p 80,8080 –open –reason $IP
![]()
Se han obtenido los siguiente resultados:
a) Hay un Apache httpd 2.2.21 ((FreeBSD) mod_ssl/2.2.21 OpenSSL/0.9.8q DAV/2 PHP/5.3.8
b) El sistema operativo es, probablemente, un Linux FreeBSD 2.6.18-2.6.22
3- Finalmente, realizar un scan de todos los puertos. Este paso requerirá mucho tiempo, por eso es recomendable realizar otras tareas en paralelo, una buena idea es investigar más en profundidad la información obtenida con anterioridad.
Para realizar el scan a todos los puertos, hay diferentes opciones:
a) Utilizar el script “One-two punch” de superkojiman:
1) echo 192.168.8.139 > ip.txt
2) bash onetwopunch -t ip.txt -p tcp -n -A
3) bash onetwopunch -t ip.txt -p udp -n -A
Nota: Es posible utilizar el parámetro “-p all”, para realizar a la vez TCP y UDP pero algunas veces da errores de ejecución.
![]()
![]()
O bien:
a) Escanear todos los puertos TCP con nmap y utilizar el parámetro -A
b)Escanear todos los puertos UDP con la tool “unicorn” o el auxiliary scan UDP de Metasploit
Una vez se han finalizado todos los scan, se realiza una recopilación de toda la información obtenida para su análisis y definición de los posibles vectores de ataque y su priorización. El procedimiento que se sigue recibe el nombre de “The low hanging fruit” y básicamente consiste en analizar y comprender toda la información que se obtiene para ordenar dichos vectores de ataque de los más sencillos y simples a los más complejos. Además, de esta manera se evita el efecto túnel, es decir, centrarse en un único vector y empeñarse en que ese es el vector definitivo.
Si se me permite el homenaje, este procedimiento recuerda a grandes rasgos al modelo deductivo de Sherlock Holmes, donde a base de recoger indicios y el análisis de las pruebas, se investiga cada con más detalle hasta llegar a la única deducción posible.
“Una vez descartado lo imposible, lo que queda, por improbable que parezca, debe ser la verdad“
Por lo tanto, los vectores de ataque definidos son:
1- Puerto 80 abierto con un servicio HTTP (web)
2- Puerto 8080 abierto con un servicio HTTP
3- Software Apache 2.2.21 ((FreeBSD) mod_ssl/2.2.21, PHP 5.3.8
4- Sistema operativo Linux FreeBSD 2.6.18-2.6.22
Análisis de vulnerabilidades
En este punto, la atención se va a centrar en cada uno de los vectores descritos, (excepto el 4- Sistema operativo dado que aún no se dispone de acceso local) intentando obtener información más específica de cada uno de ellos y así determinar las probabilidades de explotación.
Puerto 80 con un servicio HTTP (web)
La batería de pruebas que se ha de realizar siempre a un servicio web es la siguiente:
1- Navegar por la web y el fichero robots.txt
2- Análisis de las cabeceras
3- Análisis del código fuente
4- Enumeración de directorios
5- Nikto
Denotar que los puntos 4 y 5 son los que pueden requerir más tiempo, así que se una buena táctica es lanzar una tool de enumeración de directorios o Nikto y de mientras, realizar los puntos del 1 al 3.
Los resultados son los siguientes:
1- La navegación de la web se aconseja realizarla a través de Burp, o si se prefiere realizar una pasada muy rápida, utilizar curl puede ser una muy buena opción.
curl -i -L -s 192.168.8.139
![]()
Mediante las cabeceras obtenidas se confirman de nuevo las versiones de software de Apache, pero en el código fuente se ha detectado un path nuevo:
a) pChart2.1.3/index.php
b) El fichero robots.txt no existe
Si se utiliza otras opciones de curl es posible obtener algo más de información:
![]()
2- El éxito de la enumeración de directorios dependerá en gran medida de la lista que se utilice para realizar el fuzzing. Se recomiendan las siguientes:
![]()
En este caso utilizaremos la lista common.txt de Dirb.
![]()
Las herramientas que se pueden utilizar dependen mucho de los gustos personales de cada uno. Dirb es una de las más famosas, pero últimamente la tool que más estoy utilizando es gobuster.
![]()
3- Con la tool Nikto se ha obtenido más información:
![]()
Pero especialmente interesante es:
![]()
Puerto 8080 con un servicio HTTP
En este caso, al tratarse de un servicio web se repiten los pasos anteriores
1- Análisis de la web
![]()
Se obtiene un código 403 Forbidden, no se dispone de permiso de acceso. En este punto, es mejor parar las pruebas en este vector y ver si hay otros más fáciles.
Software Apache 2.2.21 ((FreeBSD) mod_ssl/2.2.21
Este vector está enfocado claramente al uso de software obsoleto. Los pasos a seguir siempre en estos casos son:
1- Identificación de la versión
2- Búsqueda de vulnerabilidades y exploits
3- Analizar si el exploit aplica o no en el escenario
En esta ocasión se va a proceder a buscar exploits utilizando Google y searchsploit
![]()
Existe un exploit con el nombre OpenFuck con dos versiones. Y es remoto, podría ser una buena opción.
Resumen del análisis de los vectores de ataque
Una vez se ha realizado un análisis preliminar de los vectores de ataque, vale la pena valorar toda la información en su conjunto.
1- Hay un servicio web en el puerto 80 que indica un path con el nombre pChart
2-Hay un posible exploit, OpenFuck que afecta al Apache instalado
3- Hay un servicio web en el 8080, pero es necesaria algún tipo de autenticación.
Entonces, en base a esto, los vectores de ataque más factibles son sin duda el 1 y el 2. Entre ellos, un exploit remoto puede ser la forma más directa y “fácil” de conseguir el acceso a la máquina, pero antes de darle al botón rojo y ejecutarlo, es recomendable realizar una pequeña leída tanto al código como a la descripción de la vulnerabilidad.
![]()
El exploit consiste en la explotación de un buffer overflow, pero el problema ocurre durante la negociación del protocolo SSLv2. Si se repasa con atención toda la información que se ha obtenido es fácil descartar el uso de este exploit, debido a que no aplica en el contexto actual. Ninguno de los puertos activos está utilizando SSL. Por lo tanto, mejor no dedicarle más tiempo a este vector y olvidarlo.
En conclusión, el vector de ataque que merece la pena seguir estudiando es el vector 1.
Explotación de pChart
Tal y como se ha comentado anteriormente, la información es la clave. En este caso, el nombre de pChart con una versión no parece ser algo aleatorio. Google es un gran aliado en estos escenarios.
Realizando una búsqueda en Google con los términos “pChart 2.1.3” el primer enlace ya conduce a exploit-db (https://www.exploit-db.com/exploits/31173/). Perfecto, pero antes de ejecutar ya los posibles exploits es recomendable recolectar algo más de información genérica e identificar el “término”. En este caso, pChart (http://www.pchart.net/) es una libreria/framework de PHP para crear gráficos.
Se repiten las mismas pruebas descritas con anterioridad para obtener aún más información.
1- Curl y navegación
![]()
![]()
2- Enumeración de directorios
![]()
3- Nikto
![]()
Se ha detectado un fichero ../readme.txt que permite identificar claramente la versión de pChart utilizada
![]()
![]()
En este punto, como se dispone de la versión exacta de pChart ( y recordando lo encontrado en Google) se utiliza la tool searchsploit:
![]()
Y…bingo, hay un directory traversal:
![]()
Se comprueba si la explotación es efectiva:
![]()
Y se obtiene el fichero /etc/passwd. Por lo tanto, se dispone de acceso a cualquier fichero ( si los permisos son los correctos) del sistema.
Una de las posibles acciones a realizar a partir de aquí sería empezar a descargar cualquier fichero del sistema, pero si se presta atención, anteriormente se ha detectado que hay un servicio en el puerto 8080 al que no se puede acceder por falta de autorización. Sería interesante saber que hay “allí”.
Siempre que haya acceso al sistema y hayan servicios activos, una de las primeras acciones a realizar es obtener el fichero de configuración de cada uno de estos servicios.
Considerando que se conoce que el sistema es un FreeBSD y el software es Apache otra simple búsqueda en Google proporciona la ubicación del fichero de configuración que se desea.
![]()
![]()
La obtención del fichero se realiza de la siguiente manera:
![]()
Dentro del fichero de configuración, se encuentra la “autenticación” necesaria para acceder al puerto 8080:
![]()
Y con otra búsqueda en Google (una más) se comprende la directiva “Allow from env”.
![]()
En conclusión, para acceder al puerto 8080 es necesario “autenticarse” utilizando el user-agent de “Mozilla4_browser“. En base a la documentación de Mozilla (https://developer.mozilla.org/es/docs/Web/HTTP/Headers/User-Agent) se trata de algo tan simple como:
![]()
![]()
Se ejecuta el siguiente comando:
![]()
El resultado, tal y como se ve, es que se accede al puerto 8080 y se obtiene otra “pista”, en este caso el nombre “phptax”
En este momento, la información útil de la que se dispone es:
1- Puerto 80 con el software pChart 2.1.3 vulnerable a path traversal que permite obtener ficheros del sistema
2- Puerto 8080 con el servicio web autorizado y un nombre “phptax”.
3- Con el directory traversal hemos obtenido el listado de usuarios y sabemos que el sistema operativo es FreeBSD release 9.0
La mejor opción es repetir el proceso seguido con pChart pero ahora con phptax.
Explotación de phptax
Nota: Dado que ya se ha visto con anterioridad el proceso de investigación, para que la lectura sea más ágil únicamente se muestra la información más relevante.
A continuación se listan las preguntas básicas que se han de saber responder:
1- ¿Qué es phptax?
PhpTax is free software to do your U.S. income taxes
2-¿Qué información tenemos de phptax?
a) Tool Dirb
![]()
b) Versión de phptax
![]()
3- ¿Es vulnerable la versión 0.8?
Sí. Mucho. Con exploit-db y Metasploit.
![]()
![]()
![]()
Con toda esta información, ya se puede a proceder a realizar la explotación con Metasploit de la siguiente forma:
![]()
Pam, ya se dispone de una shell en la máquina víctima.
![]()
Elevación de privilegios
Una vez ya se está dentro del sistema se ha de volver a iniciar todo el proceso de investigación para determinar qué vector de ataque es el más idóneo para alcanzar root. En esta fase es muy importante el orden e ir de menos a más, de lo más simple a lo más complicado, pues es relativamente sencillo empezar a buscar por todo el sistema la manera “mágica” de obtener root y finalmente, acabar instalado en el caos absoluto.
Information gathering
Para realizar el information gathering se utiliza principalmente la guia “Basic Linux Privilege Escalation” de g0tmi1k.(https://blog.g0tmi1k.com/2011/08/basic-linux-privilege-escalation/).
Las preguntas esenciales que se han de responder son:
1-¿ Qué información sabemos ya?
Se trata de un FreeBSD 9.0 y tenemos un listado de usuarios. Esta versión es del año 2013. Obsoleta.
2-¿Qué sistema operativo es?
uname -mrs / uname -a
FreeBSD 9.0-Release amd64
3- ¿Quien soy?
id
uid=80(www) gid=80….
4- ¿Qué usuarios hay?
ls /home/
cat /etc/passwd | cut -d: -f1
5- Qué lenguajes están soportados?
find / -name perl*
perl -v
perl 5, version 12
find / -name gcc*
gcc -v
gcc version 4.2.1
find / -name python*
/usr/local/bin/python -v
Python 2.7.2
Esta información servirá de guía para poder escoger mejor que exploit utilizar, ya que es recomendable (siempre que sea posible) compilar el exploit en la misma máquina víctima, pero para eso es necesario que el lenguaje esté instalado.
6- ¿Qué comandos están permitidos para establecer comunicaciones al exterior?
Se utiliza el comando which, ya que realizará la búsqueda en base al PATH del usuario. El comando find también puede ser utilizado.
which nc
/usr/bin/nc
which telnet
/usr/bin/telnet
which wget
No hay respuesta.
which ftp
/usr/bin/ftp
which tftp
/usr/bin/tftp
Por lo tanto, si se ha de realizar cualquier transferencia de archivos entre máquinas, los comandos a utilizar han de ser nc o telnet (entre otros), descartando wget.
Análisis de vulnerabilidades
Las primeras vulnerabilidades que se han de probar son:
1- Comprobar el funcionamiento de sudo, y que el password del usuario no sea trivial.
En este caso, se utiliza sudo -l o sudo -V. La respuesta es “Not found”.
2-Si el sistema operativo está desactualizado, ¿Hay exploit de elevación de privilegios?
Muchas veces la búsqueda de exploits de kernel o de sistema operativo para conseguir la elevación de privilegios acaba siendo un infierno, sobretodo si no hay ninguno….o por el contrario, hay muchos. ¿Cuál utilizar?
Bien, el hecho de saber que lenguajes están instalados en la máquina víctima ya ayuda a descartar (o poner en reserva) algunos de los exploits. Y otra buena ayuda es buscar información de esos exploit en Google y probar primero los 3-5 exploits “más populares” considerando el número de referencias. Lamentablemente, esto no es matemático, son solo pequeños trucos para ayudar a priorizar.
Para localizar los exploits que podrían afectar al sistema, hay varias tools:
1- Google
2- searchsploit
3- Tools como Linux Exploit Suggester (https://github.com/PenturaLabs/Linux_Exploit_Suggester)
4- Webs
En este caso, se han obtenido dos exploits:
![]()
a) FreeBSD 9.0< 9.1 mmap/ptrace (con 556 resultados en Google)
b) FreeBSD 9.0 – Intel SYSRET Kernel privilege ( con aproximadamente 6420 resultados en Google)
Los dos exploits están escritos en “c” por lo que pueden ser compilados en la máquina víctima. Pero si se ha de priorizar, mejor empezar a probar el FreeBSD 9.0 Intel SYSRET.
Es importante, antes de ejecutar cualquier código, primero leer y comprender a nivel general que hace y que requiere. Muchas veces el exploit correcto no funcionará debido a que hay alguna trampa en el código, o simplemente se hayan de modificar pequeños detalles, como un path, un nombre etc..
Explotación
Recapitulando, aquí está la lista de toda la información básica disponible sobre el sistema víctima y posibilidades de ataque:
1- Es un sistema FreeBSD 9.0, 64 bits, y obsoleto
2- El atacante es el usuario www, sin privilegios
3- No parece que haya usuarios activos (no hay nada en /home) aparte de root
4- Dispone de varios lenguajes de programación instalados, entre ellos, gcc
5-Las comunicaciones con el exterior, se han de realizar con netcat, telnet o ftp
6- Hay dos exploits candidatos
Por lo tanto, está claro que “la fruta más madura” o el vector más propicio, es probar el exploit Intel Sysret, y si no funciona, probar el segundo
Explotación con Intel SYSRET
El procedimiento es el siguiente:
1- Transmisión desde la máquina atacante a la víctima. En esta máquina, hay que tener cuidado con el sentido de la conexión con el comando nc.
a) cp /usr/share/exploitdb/platforms/freebsd/local/28718.c /tmp/kioptrix_priv_intento1.c
b) En la máquina atacante
![]()
c) En la máquina víctima
![]()
2- Compilación del exploit
![]()
3- Ejecución
![]()
Et voilà ! Root.
![]()
En el caso que no hubiera funcionado este exploit, el procedimiento hubiera sido el siguiente:
1- Probar el segundo exploit
2- Realizar otra vez la fase de information gathering con más detalle, buscando por ejemplo ficheros suid, problemas en el path, revisar los logs de acceso…
3- Definición de nuevos vectores de ataque
4- Si se sigue sin conseguir root, realizar otra vez el paso 2, elevando la intensidad, por ejemplo, procesos que se estén ejecutando, revisar el cron, software instalado etc
La idea es ir de lo más simple a lo más complejo, pero sin olvidar que hay que analizar todo en su conjunto evitando la mirada túnel, porque a lo mejor la solución está en encadenar varias vulnerabilidades.
Disfrutad de la máquina ![😉]()
![]()
Parte III: Caso Práctico – Atacando con Metasploit a la víctima
La obtención del fichero se realiza de la siguiente manera:
Vaya con Jerry….tampoco es un genio no. Visto lo visto, vale la pena seguir por este vector.
