(CRTA) Red Team Analyst - Lab
Last updated
Last updated
VPN IP Range
10.10.200.0/24
External IP Range
192.168.80.0/24
Internal IP Range
192.168.98.0/24
Primero se debe realizar un escaneo de red para averiguar que direcciones IPv4 pertenecen a esta, de este modo, las tendremos identificadas.
A continuación procederemos a realizar un escaneo de puertos de cada dirección IPv4 de la red, para tal de ver que puertos tienen aviertos.
Vemos que tiene una web corriendo por el puerto 80. Así que vamos a enumerarla.
Para tal de enumerarla, vamos a abrir la web en el navegador.
Vemos que se trata de un E-commerce. Tras no poder ver nada más, vamos a crearnos una cuenta para tal de poder enumerarlo desde dentro.
Vemos que hay un panel de búsqueda, podríamos intentar una SQLI. Pero no resulta exitosa. Pero vemos que nos pide un correo para la newsletter. Lo interceptaremos con burp y lo mandaremos al repeter.
Vemos que no parece nada, pero tras probar varios payloads, vemos que es vulnerable a un OS Command Execution.
Vemos que es vulnerable, ahora solo nos quedaría lanzar una reverse shell.
Tras ver que se queda colgado, vamos a verificar que hemos recibido la petición.
El próximo paso será realizar un tratamiento de la TTY para tal de tener más comodidad.
Vemos que tenemos un archivo llamado config.php con credenciales de una base de datos.
A continuación nos meteremos en la base de datos para tal de enumerarla y sacar información.
Tras enumerarla por completo no resulta exitoso. Decido enumerar el archivo /etc/passwd para ver si ha contenido sensible expuesto.
Vemos que nos muestra una especie de contraseña para el usuario privilege. Vamos a iniciar sesión por ssh para tal de tener un terminal más cómodo.
Vemos a ver si podemos elevar privilegios de sudo con este usuario.
Vemos que podemos ejecutar todo y elevar directamente nuestros privilegios a root.
Tras estar enumerando el sistema, vemos que en el directerio /home/privilege/.mozilla/firefox/b2rri1qd.default-release hay archivos de bases de datos.
Tras estar enumerando todas las bases de datos he encontrado unas posibles credenciales de la máquina que debemos saltar.
A continuación compartimos el agente a la máquina linux que hemos comprometido.
A continuación le damos permisos de ejecución.
Ahora revisamos que se ha establecido la comunicación entre las dos máquinas.
En la máquina target, ejecutarmemos el siguiente comando para establecer un route entre redes.
A continuación en nuestra máquina ejecutaremos el siguiente comando.
A continuación relizaremos un escaneo de la segunda red para tal de ver los endpoints que podemos atacar.
A continuación identificamos guardamos todos los hosts en un archivo para tal de probar las credenciales encontradas en el archivo de base de datos.
Podemos observer que la máquina 192.168.98.30 está corriendo un DC (Domain Controller) y que las credenciales son válidas. A continuación probaremos si podemos acceder por el protocolo winrm.
Vemos que las credenciales son válidas así que podemos acceder al sistema.
A continuación procederemos a autentificarnos.
A continuación, extraeremos todos los usuarios que han iniciado sesión en el dominio y veremos si podemos extraer alguna de sus credenciales.
Vamos a ver si podemos dumear sus credenciales o su hash.
Vemos que nos da unas credenciales. Vamos a verificar que las credenciales funcionan.
Observamos que no podemos ganarnos una shell con esta, pero es una máquina del domino. Por lo tanto vamos a averiguar a que máquina del dominio podemos acceder.
Vamos a ver si podemos dumear sus credenciales o su hash.
Ahora podemos extraer el SID.
Al obterner los SID, podemos relizar el atacke de Golden Ticket.
A continuación, decararemos una variable de entorno con el archivo que a soltado.
Finalmente realizaremos la elevación al DC.
